Rbot.OU

RBOT.OU gusano/backdoor de Correo IRC BOT P2P redes con recursos compartidos explota vulnerabilidades, etc.

W32/Rbot.OU@mm, I.worm.Rbot.OU@mm

Rbot.OU es un destructivo gusano/backdoor residente en memoria reportado el 05 de Junio del 2006, que se propaga a través de mensajes de Correo con asuntos, contenidos y archivos anexados de nombres aleatorios, con diversas extensiones.

Se propaga además vía redes con recursos compartidos configuradas con contraseñas débiles, redes Peer to Peer, aprovecha vulnerabilidades de los sistemas, abre un Backdoor usando puertos TCP aleatorios, se conecta a un servidor del IRC (Internet Relay Chat) uniéndose a un canal que es controlado por un BOT, desde donde recibirá instrucciones y comandos en forma remota.

Ejecuta ataques de Denegación de Servicios (DoS) o saturación con diversos métodos.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión de 137KB y comprimido y encriptado con el utilitario de fabricación alemana Obsidium:

http://www.obsidium.de/show.php?details

El gusano extrae los buzones de correo de la Libreta de Direcciones de Windows, la carpeta temporal de archivos de Internet o de archivos con las extensiones:

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:

Remitente, uno de los buzones extraídos del sistema o direcciones falsas empleando la técnica Spoofing :

Asunto, aleatoriamente uno de los siguientes:

Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status

Contenido, uno de los siguientes:

Mail transaction failed. Partial message is available.
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.

Anexado, uno de estos nombres:

body
data
doc
document
file
message
readme
test
text

con una de las siguientes extensiones:

Al activarse se copia a la carpeta %System% con el nombre de Speeder.exe y para ejecutarse la próxima vez que se re-inicie el sistema agrega la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISPup" = "%System%\speeder.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano ejecuta su rutina de envío de mensajes de correo y para propagarse vía redes con recursos compartidos, el gusano genera direcciones IP aleatorias de serviores e intenta ingresar a las mismas copiándose a los recursos:

ADMIN$
ADMIN$\system32
C$\Windows\system32
C$\WINNT\system32
PRINT$

en caso se encuentren protegidos con contraseñas, usará la metodología de la "fuerza bruta" con la siguiente lista de usuarios y contraseñas:

12345
123456
1234567
12345678
123456789
1234567890
12345678910
access
accounting
accounts
Admin
Administrador
administrat
administrateur
Administrator
admins
backup
bitch
blank
brian
changeme
chris
cisco
compaq
Computer
control
Database
databasepass
databasepassword
db1234
dbpass
dbpassword
default
domain
domainpass
domainpassword
exchange
george
guest
hello
homeuser
internet
intranet
katie
linux
login
loginpass
NetWork
NETWORKvirus
nokia
oeminstall
oemuser
office
oracle
orainstall
outlook
Owner
ownerstaff
pass1234
passwd
password
password1
peter
qwerty
server
siemens
sqlpassoainstall
Staff
student
susan
system
teacher
technical
win2000
win2k
win98
windows
winnt
winpass
winxp
wwwadmin

también busca servidores que tengan las vulnerabilidades de sistemas:

Windows WebDAV
Windows RPC/DCOM
Windows RPCSS
Windows LSASS
DameWare Remote Control Server Stack Overflow

cuya información y parches pueden descargarse desde:

Para propagarse a través de las redes de Peer to Peer el gusano busca las carpetas de descarga de la mayoría de estas aplicaciones y se copia a las mismas con los siguientes nombres:

ACDSee 9.com
Adobe Photoshop 9 full.com
Ahead Nero 7.com
Kaspersky Antivirus 5.0.com
KAV 5.0.com
Matrix 3 Revolution English Subtitles.scr
Microsoft Office 2003 Crack, Working!.pif
Microsoft Office XP working Crack, Keygen.pif
Microsoft Windows XP, WinXP Crack, working Keygen.pif
Opera 8 New!.com
Porno pics arhive, xxx.scr
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.scr
Serials.txt.bat
WinAmp 5 Pro Keygen Crack Update.com
WinAmp 6 New!.com
Windown Longhorn Beta Leak.pif
Windows Sourcecode update.doc.pif
XXX hardcore images.scr

Actuando como Backdoor abre puerto aleatorios, se conecta a un servidor IRC (Internet Relay Chat) y se une a un determinado canal de Chat, ambos cifrados dentro de código del gusano, desde el que recibirá comandos remotos, pudiendo realizar entre otras, las siguientes acciones:

Descargar y ejecutar archivos con códigos malignos desde un sitio web usando el puerto 8080
Descargar y ejecutar archivos con códigos malignos desde un servidor FTP
Abrir archivos.
Capturar la digitación de teclas.
Enviar mensajes de correo por el servidor IRC
Removerse, terminar su proceso o actualizarse.
Ejecutar ataques de DoS de Denegación de Servicios.
Cambiar el servidor IRC
Desintalar o actualizar el gusano
Configurar el sistema para operar como un servidor proxy o SOCKS4
Deshabilitar recursos compartidos.
Desconectarse del servidor IRC
Saturar el cache DNS del sistema infectado
Robar claves de CD de programas instalados
Capturar paquetes (sniffing)
Capturar imágenes

Finalmente el gusano ejecuta un ataque de Denegación de Servicios (DoS) hacia determinadas direcciones URL usando los métodos:

Saturación ICMP (Control del Protocolo de Mensajes de Internet)
Saturación SYN (Envío de paquetes desde direcciones falsas)
Saturación UDP (Protocolo de Transporte de Datos del Usuario)

PER ANTIVIRUS® versión 9.7 con registro de virus al 05 de Junio del 2006 detecta y elimina este gusano/backdoor.