Rbot.CBJ

RBOT.CBJ destructivo gusano/backdoor de redes con recursos compartidos y vulnerabilidades del sistema.

W32/Rbot.CBJ

Rbot.CBJ es un gusano/backdoor reportado el 16 de Agosto del 2005, que se propaga a través del redes con recursos compartidos, configuradas con contraseñas débiles y aprovecha las vulnerabilidades LSASS y del Servicio Plug and Play descritas en los Boletines MS04-011 y MS05-039 de Microsoft Corporation.

Se conecta a un servidor IRC (Internet Chat Relay) y actúa como un Bot que ejecutará comandos y acciones nocivas y destructivas en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP incluyendo servidores NT/2000/Server 2003, desarrollado en MS Visual C++, con 53.5 KB de extensión.

Al activarse se copia a la carpeta %System% con el nombre de Svnlitup32.exe y para ejecutarse la próxima vez que se re-inicie el sistema agrega el valor:

"svnlitup32" = "%System%\svnlitup32.exe"

a las siguientes llaves de registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

hace lo propio a las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio rastrea redes con recursos compartidos configuradas con contraseñas débiles usando una lista de nombres de usuarios y contraseñas:

12345
123456
1234567
12345678
123456789
1234567890
access
accounting
accounts
admin
administrador
administrat
administrateur
administrator
admins
backup
bitch
blank
brian
changeme
chris
cisco
compaq
computer
control
database
databasepass
databasepassword
db1234
dbpass
dbpassword
default
domain
domainpass
domainpassword
exchange
george
guest
hello
homeuser
internet
intranet
katie
linux
login
loginpass
mssql
nokia
oeminstall
oemuser
office
oracle
orainstall
outlook
owner
pass1234
passwd
password
password1
peter
qwerty
server
siemens
sqlpassoainstall
staff
student
susan
system
teacher
technical
win2000
win2k
win98
windows
winnt
winpass
winxp
wwwadmin

En caso de lograr ingresar libera una copia de sí mismo en la carpeta compartida oculta C$, que es el equivalente a la unidad C:\ en sistemas operativos configurados normalmente.

Luego rastrea en forma aleatoria los sistemas vulnerables al desbordamiento del buffer LSASS y al Servicio Plug and Play, cuya información y parches puedes ser descargados desde:

Actuando como Backdoor se conecta a través de puertos que se encuentren abiertos a un servidor IRC cifrado en su código, desde el que activará un BOT que puede ejecutar entre otras, las siguientes acciones:

Capturar información del sistema, redes, estaciones y unidades de disco.
Descargar y ejecutar archivos con códigos malignos.
Buscar redes con recursos compartidos con vulnerabilidades.
Capturar teclas digitadas.
Cambiar el servidor IRC y el canal desde el cual este conectado.
Operar el Bot uniéndose a otros canales de Chat.
Ejecutar comandos básicos de IRC.
Habilitar o deshabilitar el ingreso a las redes en forma anónima.
Ingresar o salir del usuario actual.
Rastrear puertos TCP.
Redireccionar conexiones.
Saturar el Cache del DNS.
Abrir un comando remoto oculto.
Borrar los recursos compartidos creados por defecto.
Actualizar el gusano desde la web.

PER ANTIVIRUS® versión 9.4 con registro de virus al 16 de Agosto del 2005 detecta y elimina eficientemente este gusano/backdoor.