Rbot.GSJ

RBOT.GSJ gusano/backdoor de redes con recursos compartidos e IRC activa un BOT de comandos remotos.

W32/Rbot.GSJ

Rbot.GSJ es un destructivo gusano/backdoor residente en memoria reportado el 22 de Julio del 2007, que se propaga a través de redes con recursos compartidos, configuradas con contraseñas débiles.

El gusano se ejecuta continuamente en segundo plano, mientras activa su Backdoor que se conectará a un servidor del IRC (Internet Chat Relay) el cual contiene un BOT que ejecutará una serie de acciones arbitrarias en forma automática.

Desestabiliza la seguridad del sistema inhabilitando importantes servicios.

Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 79KB y comprimido con el utilitario ASProtect:

http://www.aspack.com

Una vez ingresado, el gusano se copia a la carpeta %System% con el nombre de rundll.exe y para activarse la próxima vez que se re-inicie el sistema, agrega la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft" = "%System%\rundll.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft" = "%System%\rundll.exe"

crea además la siguiente llave para fijar la ejecución del uilitario del ASProtect:

[HKCU\Software\ASProtect]
"Microsoft" = "%System%\rundll.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano configura las siguientes llaves para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet dejando al sistema vulnerable.

Para deshabilitar el Administrador de la Barra de Tareas modifica la sub- llave:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1

Para deshabilitar el Editor de Registros modifica la sub- llave:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 1

para deshabilitar el DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N

Con una extensa lista encriptada de usuarios y passwords, utilizando el método de la "fuerza bruta" intentará ingresar a las redes con recursos compartidos, configuradas con contraseñas débiles.

Actuando como Backdoor se conecta a través de cualquier puerto TCP que se encuenter abierto a un servidor IRC (Internet Chat Relay) y se une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones:

Descargar y ejecutar archivos con códigos malignos
Rastrear servidores con recursos compartidos e ingresar a los que contengan vulnerabilidades
Capturar y enviar una información completa del sistema
Iniciar o detener procesos
Capturar teclas digitadas.
Capturar contraseñas
Reiniciar, detener o apagar el sistema infectado.

PER ANTIVIRUS® versiones 10.1 y 10.2 con registro de virus al 22 de Julio del 2007 detectan y eliminan este gusano/backdoor.