|
KWBOT.B, propagación masiva a través de Kazaa y es peligroso Backdoor
de control remoto.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Kwbot.B
KWBOT.B es
un gusano de Internet, reportado el 05 de Agosto
del 2002, que se propaga masivamente
entre los usuarios que comparten la red Kazzaa, con un archivo infectado de
apenas 1.5 KB de extensión, contenido en una lista de atractivos títulos que pueden ser
descargados de esta popular red. Asimismo posee las capacidades de Backdoor
(puerta de entrada trasera) del IRC (Internet
Chat Relay) haciendo uso del SBOT
0.5b.
Este gusano con formato PE
(Portable Ejecutable)
infecta Windows 95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000.
Después de su ejecución muestra la
siguiente caja de diálogo:
Luego se auto-copia como EXPLORER32.EXE a
C:\Windows\System\explorer32.exe y modifica la llave de registro para
ejecutarse en memoria la próxima vez que se inicie el sistema:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Explorer Update Build 1142 =
%System%\EXPLORER32.EXE
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
Windows Explorer Update Build 1142 =
%System%\EXPLORER32.EXE
%System% es
la variable C:\Windows\System para Windows
95/98/Me, C:\Winnt\System32 para Windows
NT/2000 y C:\Windows\System32 para Windows
XP.
El gusano se auto-copia
a la sub-carpeta de Kazaa en la carpeta de Media,
donde ésta exista y desde la cual infectará a
todos los usuarios conectados en una misma sesión de red compartida o Chat.
Los archivos infectados pueden ser cualquiera de esta larga relación:
- Sum of all Fears SVCD
CD1.exe
- Star Wars Episode 2 -
Attack of the Clones VCD CD2.exe
- Star Wars Episode 2 -
Attack of the Clones VCD CD1.exe
- Spiderman The Movie -
The Game.exe
- Spiderman SVCD
CD3.exe
- Spiderman SVCD
CD2.exe
- Spiderman SVCD
CD1.exe
- Soldier of Fortune 2
CD2 ISO.exe
- Soldier of Fortune 2
CD1 ISO.exe
- Return to Castle
Wolfenstein RTCW cracked server patch (play on any server with a fake
serial!).exe
- Sum of all Fears SVCD
CD3.exe
- Hentai - Mystery of
the Necromonicon (DivX) (xxx fuck anal lesbian cum scat bukkake hentai).exe
- Hentai - bondage pic
series (142 pics) (xxx fuck anal lesbian cum scat bukkake hentai).exe
- Grand Theft Auto 3
CD2 ISO.exe
- Grand Theft Auto 3
CD1 ISO.exe
- ZoneAlarm Firewall
Pro.exe
- XXX Tetris (xxx pussy
lesbian slut cunt fuck).exe
- XXX Password cracker
(xxx pussy lesbian slut cunt fuck).exe
- Winzip Key Generator
(c0re).exe
- WinRAR with crack.exe
- WinMX Backdoor
hack.exe
- Windows XP Server
iso.exe
- Windows XP Remote
password cracker.exe
- Windows XP
Professional iso.exe
- Windows XP Home to
Professional Upgrade.exe
- Windows XP backdoor
hack.exe
- Windows 98 hacker.exe
- Windows 2000 win2k
password stealer.exe
- Windows 2000 win2k
Backdoor hack.exe
- Winamp 3.0 beta.exe
- WinACE with crack.exe
- Warrior Kings iso.exe
- Warez locator (finds
and verifies).exe
- Warcraft 3 Keygen.exe
- Warcraft 3 Crack.exe
- Warcraft 3 beta.exe
- Unreal Tournament
cracked (works on all servers).exe
- Unreal 3 beta
CRACKED.exe
- University Study
Guide (cheat sheet).exe
- Uncapper for EDU
connections.exe
- TurboTax Professional
2002 iso.exe
- The Secret of the
Nautilus iso.exe
- Star Wars Jedi Knight
II 2.exe
- Star Trek Klingon
Academy iso.exe
- Star Trek Bridge
Commander iso.exe
- Space Empires IV 4
Gold iso.exe
- Sound Forge XP Studio
+ Serial.exe
- Return to Castle
Wolfenstein RTCW crack (play on any server with fake serial!).exe
- Return to Castle
Wolfenstein iso.exe
- Ray Crisis iso.exe
- Quicken Pro 2002
iso.exe
- Quake 4 leaked beta (cracked).exe
- Quake 3 cracked (works
on all servers).exe
- Preteen nude pics
(xxx pussy lesbian slut cunt fuck).exe
- Preteen girl rape
collection (xxx pussy lesbian slut cunt fuck).exe
- Preteen girl gangbang
(xxx fuck anal lesbian cum scat bukkake hentai).exe
- Preteen girl fucks
and sucks her dad (xxx pussy lesbian slut cunt fuck).exe
- Preteen bondage pics
(xxx pussy lesbian slut cunt fuck).exe
- Playstation 2 PS2
Emulator.exe
- Playboy nude
wallpaper (xxx pussy lesbian slut cunt fuck).exe
- PHP4 Ultimate Study
Guide.exe
- Perl Ultimate Study
Guide.exe
- Oni 2nd second
edition.exe
- Office XP Corporate
Ed. iso.exe
- Notron Utilities
2002.exe
- Norton Utilities
2002.exe
- Norton Systemworks
2002.exe
- Norton Internet
Security 2002.exe
- Norton AntiVirus
2002.exe
- Nero Burning Rom 5.5
cracked.exe
- Nero Burning Rom 5.5
Crack.exe
- Nero 5.5 Crack.exe
- Monsterville
cracked.exe
- mIRC backdoor
hack.exe
- Microsoft Visual C++
7.0 iso.exe
- Microsoft Office XP
Upgrade (from older versions).exe
- MCSE Ultimate Study
Guide.exe
- Max Payne Multiplayer
Addon.exe
- Max Payne full
iso.exe
- Macromedia Flash
5.exe
- Macromedia Flash 5
Ultimate Study Guide.exe
- LESBIAN HORSE
FUCKERS.exe
- Kazaa Advertisement
Ad remover.exe
- Kama Sutra.exe
- Japanese scat video (sick)
(xxx fuck anal lesbian cum scat bukkake hentai).exe
- IRC hacker.exe
- Incoming Forces
iso.exe
- ICQ hack.exe
- ICQ AIM Password
stealer.exe
- Horny lesbian fucks
horse! (xxx fuck anal lesbian cum scat bukkake hentai).exe
- Hooligans iso.exe
- Hentai - Mystery of
the Necromonicon (DivX) (xxx fuck anal lesbian cum scat hentai).exe
- Hentai - bondage pic
series (142 pics) (xxx fuck anal lesbian cum scat hentai).exe
- hacking tools
2002.exe
- hacker utils 2002.exe
- Ghost Recon.exe
- Ghost Recon - Desert
Siege.exe
- Gamecube Emulator.exe
- ESPN NFL Primetime
2002 iso.exe
- End Of Twilight
iso.exe
- Easy CD Creator crack
(all versions) (core).exe
- DSL Uncapper.exe
- DSL Anonymizer.exe
- Dreamcast
Emulator.exe
- DoS Attacker.exe
- DivX Codec 6.0 beta (codec
only).exe
- DivX Codec 5.0 (codec
only).exe
- DivX Codec 4.0 (codec
only).exe
- Delphi Ultimate Study
Guide.exe
- Dark Planet Battle
For Natrolis cracked.exe
- Credit Card number
generator VERIFIER (cc cc#).exe
- cows gone wild.exe
- Copy of ZoneAlarm
Firewall Pro.exe
- Copy (11) of
ZoneAlarm Firewall Pro.exe
- Conceal PC
Firewall.exe
- Command and Conquer
cnc c&c Renegade iso.exe
- College Philosophy
Ultimate Study Guide.exe
- College History
Ultimate Study Guide.exe
- College Ethics
Ultimate Study Guide.exe
- College English
Ultimate Study Guide.exe
- College Computer
Science Ultimate Study Guide.exe
- College Computer
Engineering Ultimate Study Guide.exe
- College Chemistry
Ultimate Study Guide.exe
- College Biology
Ultimate Study Guide.exe
- CloneCD.exe
- CloneCD Keygen.exe
- CloneCD Crack (all
versions) core.exe
- Christina Aguilera
nude wallpaper (xxx pussy lesbian slut cunt fuck).exe
- Cable Uncapper.exe
- Cable Modem
Anonymizer.exe
- C++ Ultimate Study
Guide.exe
- BRUTAL FORCED PRETEEN
ANAL SEX (xxx fuck anal lesbian cum scat bukkake hentai).exe
- Britney Spears nude
wallpaper (xxx pussy lesbian slut cunt fuck).exe
- Borland C++ Builder
8.0 iso.exe
- BlackICE Defender.exe
- Bandwidth Booster 4.2
for Cable,DSL.exe
- BabylonX password
cracker.exe
- BabylonX Backdoor.exe
- AOL Hacker.exe
- ANSI C Ultimate Study
Guide.exe
- All Cliff notes (cliff's).exe
- AIM hacker.exe
- Adult Check Password
Cracker (xxx pussy lesbian slut cunt fuck anal incest).exe
- Adobe Photoshop.exe
- Adobe Photoshop
6.0.exe
- Adobe Photoshop 6
Ultimate Study Guide.exe
- ACDSee 4.1
cracked.exe
- A+ Certification
Ultimate Study Guide.exe
- 2002 Playboy
centerfold wallpapers (xxx pussy lesbian slut cunt fuck).exe
- 2001 Playboy
centerfold wallpapers (xxx pussy lesbian slut cunt fuck).exe
- 2000 Playboy
centerfold wallpapers (xxx pussy lesbian slut cunt fuck).exe
- 1001 Mixed Drinks.exe
- 100 XXX Passwords (verified
3-24-02).exe
- 100 Hot lesbian
wallpapers (xxx pussy lesbian slut cunt fuck).exe
- 100 Hot Hardcore
Preteen Wallpapers (xxx pussy lesbian slut cunt fuck anal).exe
El gusano es un Backdoor, que emplea comandos
del SDBOT
0.5b, a través del puerto 53 del sistema infectado y puede
ser accesible a otros usuarios remotos. El SDBOT es una herramienta de
control remoto, desarrollada por un hacker ruso, que permite tomar control de los
sistemas y de los usuarios del software de Chat mIRC,
La red compartida p2p
(peer to peer) de Kazza
es
muy popular, permite descargar videos, música MP3,
fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios,
en forma simultánea. Es
necesario instalar en el sistema, su software propietario, el mismo que
abre en la
computadora del usuario el puerto 1214, el cual permite acceder a los equipos, a través de las siguientes instrucciones:
telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 40900
Accept-Ranges: bytes
Date: Sat, 04 Aug 2002 11:47:36 GMT
Server: KazaaClient Aug 04 2002 03:12:25
Connection: close
Last-Modified: Wed, 26 Jun 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html
Para infectar esta red, el
autor debe tener instalado el software propietario de Kazaa, luego conectarse a
este servicio y ejecutar el archivo infectado, con lo cual
también infectará el equipo que esté usando, que asumimos sea ajeno
(cabina pública, estación de trabajo de un centro laboral o de estudios,
etc.)
Este gusano tiene dos payloads, siendo su
primer objetivo saturar a los servidores, estaciones de trabajo
y PC domésticas que logre infectar. En segundo lugar, por medio de su Backdoor
puede tomar control de los sistemas infectados, lo cual implica una grave
peligrosidad.
PER ANTIVIRUS®
versión 7.6 con registro de virus al 05 de Agosto del 2002 detecta y elimina
eficientemente este gusano y sus variantes.
