W32/Rbot.AIW, Troj/Rbot.AIW

Rbot.AIW es un destructivo gusano/troyano/backdoor reportado el 22 de Enero del 2005, que infecta los sistemas con un archivo de nombre Icp.exe propagándose en redes con recursos compartidos configuradas con contraseñas débiles, usando IPs generadas aleatoriamente. Explota diversas vulnerabilidades de los sistemas operativos de Microsoft e Internet Explorer. Ocasiona ataques DoS por comandos de saturación.

Actúa además como Backdoor abriendo un puerto TCP que se encuentre disponible o elegido en forma aleatoria, se conecta y une a un canal del IRC (Internet Chat Relay) desde el cual recibirá instrucciones y ejecutará una serie de acciones de parte del intruso.

Robra las claves de los productos de Microsoft y de populares juegos de PC.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ con una extensión de 152 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez ingresado el gusano se auto-copia a la carpeta %System% el archivo de nombre Icp.exe y para ejecutares la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Internet Content Publisher" = "Icp.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Internet Content Publisher" = "Icp.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Internet Content Publisher" = "Icp.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo intenta ingresar a los sistemas configurados con contraseñas débiles empleando una lista cifrada de nombres de usuarios y contraseñas. Usa además una relación de IP generadas aleatoriamente.

De lograr ingresar libera una copia de sí mismo en las carpetas de los siguientes recursos compartidos "ocultos":

• ADMIN$
• ADMIN$\system32
• C$
• C$\Documents and Settings\All Users\Documents
• C$\Windows\system32
• C$\WINNT\system32
• IPC$
• PRINT$

También aprovecha y explota las vulnerabilidades DCOM-RPC y LSASS, cuya información y parches se pueden encontrar en los siguientes boletines emitidos por Microsoft:

• http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
• http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

El gusano usa las capacidades Backdoor de variantes de diversos gusanos y troyanos, para descargar copias de sí mismo a los sistemas a infectar e incrementar su propagación.

Actuando como Backdoor, abre un puerto aleatorio se conecta y une a un canal del IRC desde el cual recibirá instrucciones en forma remota y ejecutará una serie de acciones de parte del intruso, tales como: 

• Alterna servidores IRC.
• Borra el archivo original de servidor.
• Se conecta o desconecta del servidor.
• Descarga archivos y los ejecuta desde un sitio en la web o vía FTP.
• Habilita y deshabilita recursos compartidos.
• Genera aleatoriamente un nuevo "Nick" (apodo).
• Se une o desconecta desde un canal de Chat.
• Lista todos los procesos.
• Abre archivos.
• Ejecuta rastreo de puertos.
• Recibe comandos de un URL especifico cifrado.
• Redirecciona puertos.
• Busca claves de CD.
• Envía mensajes privados a través del IRC.
• Envía archivos usando el DCC (Direct Control Command)
• Termina procesos
• Se actualiza a sí mismo desde un sitio web o vía FTP.
• Se auto-elimina

El Backdoor roba las claves de productos de Microsoft y de los siguientes juegos de PC., en caso estuviesen instalados:

• Battlefield 1942
• Battlefield 1942 Road To Rome
• Command & Conquer Generals
• Counter-Strike
• FIFA 2003
• Half-Life
• Need For Speed Hot Pursuit 2
• Neverwinter
• Project IGI 2
• Rainbow Six III RavenShield
• Soldier of Fortune II - Double Helix
• Unreal Tournament 2003

Finalmente ejecuta ataques DoS usando los métodos de saturación:

• ICMP
• SYN
• TCP
• PING

PER ANTIVIRUS® versión 9.0 y 9.1 con registro de virus al 22 de Enero del 2005 detecta y elimina eficientemente este gusano/troyano/backdoor.