Rbot.EWD

RDBOT.EWD troyano/backdoor de redes con recursos compartidos explota vulnerabilidades desestabiliza sistema.

W32/Rbot.EWD

Rbot.EWD es un destructivo troyano/backdoor residente en memoria reportado el 09 de Agosto del 2006, que se propaga a través de redes con recursos compartidos, configuradas con contraseñas débiles.

Explota vulnerabilidades del desbordamiento del Buffer de la Librería ASN.1 y la del Servicio Plug and Play detalladas en los Boletines MS04-007 y MS05-039.

Se ejecuta continuamente en segundo plano (background) y a través de un servidor Backdoor permite que un intruso tome control en forma remota de los sistemas vía canales de Chat.

Infecta a Windows 95/98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Activa un BOT de IRC (Internet Chat Relay) y ejecuta diversas acciones en forma remota y desestabiliza el sistema.

Una vez ingresado al sistema se copia a la carpeta %System% con el nombre de Msdn-nt.exe y crea el archivo:

%System%\drivers\oreans32.sys

para activarse cada vez que se re-inicie el sistema, agrega el siguiente valor:

"Shell" = "Explorer.exe msdn-nt.exe"

a las llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

siendo su valor original por defecto = "Explorer.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo configura la siguiente llave para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

para deshabilitar el protocolo DCOM (Distributed Component Object Model Communication) crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" = "N"

para restringir el acceso a conexiones anónimas modifica la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"

El archivo oreans32.sys es registrado como un un nuevo driver de sistema con el nombre de "oreans32", el mismo que aunque es inocuo, crea valores en la llave de registro:

[HKLM\SYSTEM\CurrentControlSet\Services\oreans32]

Rastrea las redes con recursos compartidos, configuradas con contraseñas débiles para intentar ingresar con los privilegios de Administrador.

Abre un Backdoor en el sistema infectado, el cual es ejecutado en segundo plano (background) y usando un BOT de IRC (Internet Chat Relay) se conecta a un pre-determinado canal de Chat desde el cual un intruso podrá ejecutar las siguientes acciones:

Abrir puertos TCP.
Conectarse a a servidores IRC remotos.
Ejecutar ataques DoS.
Controlar en forma remota los sistemas infectados.

Finalmente se propaga en los sistemas con la vulnerabilidades arriba mencionadas y cuyos parches pueden ser descargados desde:

PER ANTIVIRUS® versión 9.8 con registro de virus al 09 de Agosto del 2006 detecta y elimina este troyano/gusano/backdoor.