Rbot.FMO

RBOT.FMO troyano/backdoor con un BOT de IRC explota diversas vulnerabilidades de los sistemas, etc.

W32/Rbot.FMO

Rbot.FMO es un destructivo troyano/backdoor residente en memoria reportado el 07 de Septiembre del 2006, que se propaga a través del IRC (Internet Chat Relay) usando un puerto TCP aleatorio.

Explota las vulnerabilidades de desbordamiento del buffer del Servicio de Estaciones de Trabajo, del Servidor SQL 2000 y del Servicio de Servidor, descritas en los Boletines MS03-049, MS02-039 y MS06-040

Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 72KB y comprimido con el utilitario ASPack:

http://www.aspack.com

El troyano se ejecuta continuamente en segundo plano, lo que permite a intrusos acceder al sistema a través de canales de Chat.

Una vez ingresado, el troyano se copia a la carpeta %System% con el nombre de WinIp32.exe y para activarse la próxima vez que se re-inicie el sistema, agrega la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Sound Verifier"= "%System%\WinIp32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Sound Verifier"= "%System%\WinIp32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el troyano configura las siguientes llaves para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet dejando al sistema vulnerable.

para deshabilitar la opción de conexión remota crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
EnableRemoteConnect = N

para deshabilitar el protocolo DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM" = "N"

para restringir el acceso a conexiones anónimas modifica la sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"

otras sub-llaves de registro son generadas bajo:

HKEY_CURRENT_USER\.key\

El troyano rastrea los sistemas conectados a Internet que tengan las vulnerabilidades mencionadas.

Actuando como Backdoor se conecta a través de un puerto TCP a un servidor IRC (Internet Chat Relay) y se une a un canal de Chat cifrado que contiene un Bot y desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones:

Descargar y ejecutar archivos con códigos malignos
Capturar y enviar una información completa del sistema.
Capturar teclas digitadas.
Capturar contraseñas
Reiniciar, detener o apagar el sistema infectado.

Los parches para las vulnerabilidades mencionadas pueden ser descargados desde:

PER ANTIVIRUS® versión 9.8 con registro de virus al 07 de Septiembre del 2006 detecta y elimina este troyano/backdoor.