|
KWBOT.C, propagación masiva vía Kazaa e iShare y peligroso Backdoor
de control remoto a través de Chat.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Kwbot.C, Troj/Tank,
W32/Pac
 |
|
KWBOT.C es
un gusano/troyano/backdoor, reportado el 24 de
Febrero del 2003, que actuando como dropper
es propagado por el IRC (Internet
Chat Relay) con el archivo cmd32.exe
el mismo que libera otro gusano, para su difusión a través de las
redes P2P Kazaa
e iMesh
Emplea el troyano/backdoor ruso SDBOT
0.5b, creado por el hacker [sd] quien distribuye su código
fuente a través de varios sitios web. Controla los sistemas vía Chat.
|
Es un PE
(Portable Ejecutable)
infecta Windows 95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000
y tiene una extensión de 100 KB.
Al ser ejecutado se auto-copia al directorio %Windir%
como cmd32.exe, el que a su vez libera el
gusano de nombre system32.exe que se copia a
la carpeta %System% con el atributo de
"oculto" y para activarse la próxima vez que se inicie el sistema,
crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
SystemSAS = "%System%\system32.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
SystemSAS = "%System%\system32.exe"
El gusano también modifica las llaves de
registro relacionadas a Kazaa e iShare:
[HKEY_Current_User\Software\Kazaa\LocalContent]
[HKEY_Current_User\Software\iMesh\Client\LocalContent]
Luego se auto-copiará a las carpetas de
estas redes Peer to Peer,
con una lista de nombres de archivos que contienen copias del gusano, los
cuales infectarán los sistemas a los cuales sean descargados:
- Battlefield1942_bloodpatch.exe
- Unreal2_bloodpatch.exe
- UT2003_bloodpatch.exe
- AquaNox2 Crack.exe
- NBA2003_crack.exe
- FIFA2003 crack.exe
- C&C Generals_crack.exe
- UT2003_keygen.exe
- UT2003_no cd (crack).exe
- Age of Empires 2 crack.exe
- Anno 1503_crack.exe
- C&C Renegade_crack.exe
- Diablo 2 Crack.exe
- Gothic 2 licence.exe
- GTA 3 Crack.exe
- GTA 3 patch (no cd).exe
- Hitman_2_no_cd_crack.exe
- Mafia_crack.exe
- Neverwinter_Nights_licence.exe
- NHL 2003 crack.exe
- WarCraft_3_crack.exe
- Splinter_Cell_Crack.exe
- Battlefield1942_keygen.exe
- Winamp 3.8.exe
- MediaPlayer Update.exe
- UT2003_patch.exe
- ACDSee 5.5.exe
- DivX Video Bundle 6.5.exe
- Global DiVX Player 3.0.exe
- QuickTime_Pro_Crack.exe
- KaZaA Lite (New).exe
- iMesh 3.7b (beta).exe
- iMesh 3.6.exe
- KaZaA Hack 2.5.0.exe
- DirectDVD 5.0.exe
- Flash MX crack (trial).exe
- Ad-aware 6.5.exe
- WinZip 9.0b.exe
- SmartFTP 2.0.0.exe
- ICQ Lite (new).exe
- ICQ Pro 2003b (new beta).exe
- ICQ Pro 2003a.exe
- AOL Instant Messenger.exe
- Download Accelerator Plus 6.1.exe
- Trillian 0.85 (free).exe
- MSN Messenger 5.2.exe
- Network Cable e ADSL Speed 2.0.5.exe
- mIRC 6.40.exe
- GetRight 5.0a.exe
- Pop-Up Stopper 3.5.exe
- Yahoo Messenger 6.0.exe
- KaZaA Speedup 3.6.exe
- Nero Burning ROM crack.exe
- WindowBlinds 4.0.exe
- Animated Screen 7.0b.exe
- Living Waterfalls 1.3.exe
- Matrix Screensaver 1.5.exe
- Popup Defender 6.5.exe
- Space Invaders 1978.exe
- SmartRipper v2.7.exe
- TweakAll 3.8.exe
- DVD Copy Plus v5.0.exe
- Serials 2003 v.8.0 Full.exe
- Zelda Classic 2.00.exe
- Need 4 Speed crack.exe
- Links 2003 Golf game (crack).exe
- Netfast 1.8.exe
- Guitar Chords Library 5.5.exe
- DVD Region-Free 2.3.exe
- Cool Edit Pro v2.55.exe
- Coffee Cup Free HTML 7.0b.exe
- Clone CD 5.0.0.3.exe
- Clone CD 5.0.0.3 (crack).exe
- Nimo CodecPack (new) 8.0.exe
- Business Card Designer Plus 7.9.exe
- Steinberg_WaveLab_5_crack.exe
- Hot Babes XXX Screen Saver.exe
- FreeRAM XP Pro 1.9.exe
- IrfanView 4.5.exe
- Audiograbber 2.05.exe
- WinOnCD 4 PE_crack.exe
- Final Fantasy VII XP Patch 1.5.exe
- BabeFest 2003 ScreenSaver 1.5.exe
- PalTalk 5.01b.exe
- DirectX Buster (all versions).exe
- DirectX InfoTool.exe
- Unreal2_crack.exe
- FlashGet 1.5.exe
- Babylon 3.50b reg_crack.exe
- mp3Trim PRO 2.5.exe
El gusano emplea el troyano/backdoor de origen
ruso SDBOT
0.5b, creado por el hacker conocido como [sd].
Sus payloads
son los siguientes:
- Infecta a los usuarios conectados a una misma sesión de
Chat.
- Se propaga masivamente a través de las
redes P2P Kazaa e iShare.
- Ejecuta archivos y programas en forma
remota.
- Se conecta a un determinado URL y se
actualiza via HTTP.
- Cambia la página de Inicio de los
navegadores.
- Descarga y extrae archivos.
- Extrae información del servidor y
estaciones de trabajo, incluyendo sus direcciones IP.
- Envía esta información a la dirección
de correo del hacker poseedor del Backdoor Cliente.
- Activa, Reinicia o apaga los
sistemas.
- Ocasiona una Negación de Servicio (DoS)
de los servidores atacados, por medio del llamado SYN Flood.
- Finalmente se auto-desinstala del
sistema infectado.
PER ANTIVIRUS®
versión 7.9 con registro de virus al 24 de Febrero del 2003 detecta y elimina
eficientemente este gusano/troyano/backdoor.
