W32/Kiman.B, I.worm.Kiman.B

Kiman.B es un destructivo troyano/backdoor reportado el 09 de Febrero del 2006, que infecta los sistemas con un archivo de nombre hdcontroller.exe propagándose en redes con recursos compartidos configuradas con contraseñas débiles y abre un Backdoor a través del IRC. Explota diversas vulnerabilidades de Microsoft y ejecuta ataques DoS.

Las vulnerabilidades involucradas son el DCOM RPC (Llamada Remota de Procedimientos), LSASS (Desbordamiento de Buffer del Servicio Localizador) y Desbordamiento del Buffer del SQL.

Usa los puertos TCP 135, 139, 443, 445, 1025 y el puerto UDP 1434.

Se conecta a un a un canal del IRC (Internet Chat Relay) y ejecuta una diversidad de actividades nocivas y hasta destructivas.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está programado en Visual C++ con una extensión de 47 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

El gusano se auto-copia a la carpeta %System% el nombre de archivo hdcontroller.exe y para ejecutarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Hard drive Controller" = "%System%\hdcontroller.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Hard drive Controller" = "%System%\hdcontroller.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para evitar la enumeración de la sesión de NULL del servidor crea la llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"restrictanonymous" = "1"

Para deshabilitar el DCOM. crea la llave: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\OLE]
"EnableDCOM" = "N" 

Para modificar algunas llaves de registro libera los siguientes archivos en las rutas:

• %SystemDrive%\a.bat
• %Temp%\1.reg

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003. 

para cambiar la configuración del sistema cambia las siguientes sub-llaves: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableRemoteConnect" = "N"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server]
"Enabled" = "0" 

para remover los recursos administrativos compartidos modifica los valores:

"AutoShareServer" = "0"
"AutoShareWks" = "0"

en la llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters]

para cambiar la configuración del sistema modifica lo valores: 

• "NameServer" = ""
• "ForwardBroadcasts" = "0"
• "IPEnableRouter" = "0"
• "Domain" = ""
• "SearchList" = ""
• "UseDomainNameDevolution" = "1"
• "EnableICMPRedirect" = "0"
• "DeadGWDetectDefault" = "1"
• "DontAddDefaultGatewayDefault" = "0"
• "EnableSecurityFilters" = "1"
• "AllowUnqualifiedQuery" = "0"
• "PrioritizeRecordData" = "1"
• "TCP1320Opts" = "3"
• "KeepAliveTime" = "23280"
• "BcastQueryTimeout" = "2ee"
• "BcastNameQueryCount" = "1"

en la llave: 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]

Al siguiente re-inicio del equipo usa una lista cifrada de nombres de usuarios y contraseñas, para lograr el ingreso a los sistemas remotos, que se encuentren configuradas con contraseñas débiles. 

De conseguirlo, libera copias de sí mismo y las propaga en todos los recursos compartidos. 

Actuando como Backdoor se conecta a un canal del través del puerto TCP 443 en el dominio:

enz.fulame.biz

desde el cual podrá ejecutar las siguientes acciones:  

• Descargar y ejecutar archivos con códigos malignos
• Listar, detener y empezar procesos e hilos
• Activar servidores locales HTTP, FTP y TFTP 
• Enviar archivos por FTP 
• Enviar archivos de correo usando su propio moto SMTP
• Rastrear puestos para encontrar servidores vulnerables
• Ingresar a redes con recursos compartidos y copiarse a sí mismo a los mismos
• Interceptar paquetes recibidos o enviados en la LAN   
• Ejecutar re-direccionamientos de puertos TCP y UDP 
• Saturar los caches de los DNS y ARP 
• Ejecutar Negaciones de Servicio o ataques ACK, SYN, UDP e ICMP
• Abrir un comando shell en el sistema afectado
• Agregar y borrar recursos compartidos y deshabilitar el DCOM
• Reiniciar el equipo a voluntad del intruso.   

Aprovecha y explota las vulnerabilidades LSASS, DCOM-RPC, desbordamiento del SQL, etc. cuya información y parches se pueden encontrar en los siguientes boletines emitidos por Microsoft:

• http://www.microsoft.com/technet/security/bulletin/ms03-026.mspx
• http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
• http://www.microsoft.com/technet/security/bulletin/ms02-061.mspx

PER ANTIVIRUS® versión 9.6 con registro de virus al 09 de Febrero del 2006 detecta y elimina este gusano/backdoor.