W32/Rbot.CJN

Tambien infecta a la lista de contactos de la Mensajería Instantánes de AOL (AIM), se conecta a uno de 2 servidores IRC (Internet Chat Relay), haciendo uso de puertos aleatorios y ejecuta una diversidad de acciones en forma remota.

Es un PE (Portable Ejecutable) e infecta a Windows 98/NT/2000/XP y Server 2003, está programado en Visual C++ y comprimido con el utilitario ASProtect:

http://www.aspack.com

Una vez ingresado el gusano se copia a la carpeta %System% como Express.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

Al siguiente inicio del sistema el gusano libera copias de sí mismo en las redes con recursos compartidos con los nombres de usuarios y passwords contenidos en una extensa lista genérica, además de aquellos capturados en los sistemas previamente infectados

También se propaga vía la Mensajería Instantánea de AOL (AIM) enviando un mensaje a todos los contactos de este servicio:

see this!! http://home.comcast.net/~svyskocil/image0088.com

descargando el archivo que es una copia del gusano.

Actuando como Backdoor abre puertos TCP aleatorios y se conecta a los servidores IRC (Internet Chat Relay):

• 9515gay.drosdenberg.net
• hoe.firstringtonesforyou.com

y se une al canal ##sm0keh## donde genera un Bot, permitiendo al intruso ejecutar en forma remota entre otras, las acciones:

• Descargar y subir archivos.
• Ejecutar archivos con códigos malignos.
• Borrar y terminar procesos en ejecución.
• Obtener información del hardware del sistema.
• Saturar el cahe del DNS.
• Listar, abriri, leer y borrar archivos.
• Rastrear direcciones IP, hilos y puertos.
• Ocasionar ataques DoS de Negación de Servicios con los comandos PING y SYN.

PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 28 de Octubre del 2005 detectan y eliminan este gusano/troyano/backdoor.