W32/Rbot.SD, Troj/Rbot.SD

Rbot.SD es un destructivo troyano/backdoor reportado el 22 de Diciembre del 2004, que infecta los sistemas con un archivo de nombre iexpl0re.exe propagándose en redes con recursos compartidos configuradas con contraseñas débiles y servidores SQL. Explota diversas vulnerabilidades de los sistemas operativos de Microsoft e Internet Explorer.

Ingresa a diversos canales IRC (Internet Chat Relay) y ejecuta una diversidad de actividades nocivas y hasta destructivas. Usa además los Backdoors descargados por otros gusanos o troyanos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez ingresado el gusano se auto-copia a la carpeta %System% el archivo de nombre iexpl0re.exe y para ejecutares la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"" = "%System%\iexpl0re.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"" = "%System%\iexpl0re.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"" = "%System%\iexpl0re.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el se propaga a través de las redes con recursos compartidos y lo hace usando la cuenta y privilegios del usuario conectado, para acceder a los sistemas remotos. Igualmente usa una lista cifrada de nombres de usuarios y contraseñas, para lograr el ingreso a los sistemas remotos, mayormente configuradas con contraseñas débiles.

De conseguirlo, libera copias de sí mismo y las propaga en todos los recursos compartidos.

Aprovecha y explota las vulnerabilidades LSASS, DCOM-RPC, WebDAV, UPNP, desbordamiento del SQL, etc. cuya información y parches se pueden encontrar en los siguientes boletines emitidos por Microsoft:

• http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
• http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx
• http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx
• http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx

El gusano usa las capacidades Backdoor de variantes de diversos gusanos y troyanos, para descargar copias de sí mismo a los sistemas a infectar e incrementar su propagación.

Actuando netamente como Backdoor, el gusano se conecta como usuario de diversos canales de Chat, desde donde podrá realizar las siguientes acciones en forma remota:

• Ejecutar un servidor FTP
• Ejecutar un servidor Proxy
• Ejecutar un servidor web
• Ejecutar Negaciones de Servicio o ataques DoS
• Capturar teclas digitadas
• Capturar pantallas o imágenes en movimiento de web cams
• Activar un Sniffer de Puertos (capturador de información vía HTTP)
• Activar un Sniffer (capturador de información vía TCP)
• descargar y ejecutar archivos con códigos malignos
• Ejecutar el comando remoto RLOGIN (*)

(*) Para ejecutar el comando RLOGIN el gusano crea el servicio RLOGIND que combina los nombres del Usuario Remoto y el del Usuario Local.

PER ANTIVIRUS® versión 9.0 con registro de virus al 22 de Diciembre del 2004 detecta y elimina eficientemente este troyano/backdoor.