W32/Poebot-MQ

POEBOT.MQ gusano/backdoor del IRC explota conocidas vulnerabilidades del sistema desestabiliza Windows, etc.

W32/Poebot.MQ

Poebot.MQ es un gusano/backdoor residente en memoria reportado el 17 de Septiembre del 2007, que se propaga a través del IRC (Internet Chat Relay).

Explota las vulnerabilidades del sistema LSASS (MS04-011), el RPC-DCOM (MS04-012), proceso de la Librería ASN.1 (MS04-007), la del Servicio de Servidor (MS06-040) y el desbordamiento del buffer del Plug and Play (MS05-039).

El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conectará a un servidor del IRC (Internet Chat Relay) con un BOT que ejecutará acciones arbitrarias en forma automática y remota.

Desestabiliza la seguridad del sistema inhabilitando servicios.

Infecta a Windows 95/98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 89KB y comprimido con el utilitario ASProtect.

Una vez ingresado, el gusano se copia al directorio %System% como winIogon.exe y para ejecutarse la próxima vez que se reinicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Logon Application" = "%System%\winIogon.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano crea las siguientes sub-llaves:

Para impedir la ejecución automática de otros programas al inicio del sistema, crea las sub-llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wscsvc]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr]
Start = 4

Para deshabilitar el Administrador de la Barra de Tareas y el Editor de Registros crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para impedir la actualización de Windows XP al Service Pack 2 crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2" = "1"

Actuando como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y se une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar, entre otras, las siguientes acciones en forma remota:

Descargar y ejecutar archivos con códigos malignos
Capturar y enviar una información del sistema
Activar y ejecutar un servidor FTP
Activar y ejecutar un servidor Proxy
Revisar aleatoriamiente direcciones IP y puertos
Explotar vulnerabilidades de los sistemas
Iniciar ataques de Denegación de Servicios (DDoS)

Las sub-llaves de registro creadas alteran el sistema y deshabilitan funciones debiendo Restaurar el Sistema a una fecha anterior.

La información y parches para las vulnerabilidades descritas están contenidas en los siguientes enlaces:

PER ANTIVIRUS® versión 10.2 con registro de virus al 17 de Septiembre del 2007 detecta y elimina este gusano/backdoor.