W32/Rbot.TF, Troj/Rbot.TF

Rbot.TF es un destructivo troyano/backdoor reportado el 11 de Febrero del 2005, que infecta los sistemas con un archivo de nombre wuaruclt.exe propagándose en redes con recursos compartidos configuradas con contraseñas débiles y servidores SQL. Explota diversas vulnerabilidades de los sistemas operativos de Microsoft e Internet Explorer.

Ingresa a diversos canales IRC (Internet Chat Relay) y ejecuta una diversidad de actividades nocivas y hasta destructivas. Usa además los Backdoors descargados por otros gusanos o troyanos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez ingresado el gusano se auto-copia a la carpeta %System% el archivo de nombre wuaruclt.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"windows update" = "%System%\wuaruclt.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"windows update" = "%System%\wuaruclt.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"windows update" = "%System%\wuaruclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"windows update" = "%System%\wuaruclt.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"windows update" = "%System%\wuaruclt.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

También modifica las siguientes entradas de registro:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = dword:00000001

Al siguiente inicio del equipo se propaga a través de las redes con recursos compartidos usando la cuenta y privilegios del usuario conectado, para acceder a sistemas remotos. Usa además una lista cifrada de nombres de usuarios y contraseñas, para lograr el ingreso a los sistemas remotos, mayormente configuradas con contraseñas débiles.

De conseguirlo, libera copias de sí mismo y las propaga en todos los recursos compartidos.

Aprovecha y explota las vulnerabilidades LSASS, DCOM-RPC, WebDAV, UPNP y desbordamiento del SQL.

El gusano usa las capacidades Backdoor de variantes de diversos gusanos y troyanos, para descargar copias de sí mismo a los sistemas a infectar e incrementar su propagación.

Actuando netamente como Backdoor, el gusano se conecta como usuario de diversos canales de Chat, desde donde podrá realizar las siguientes acciones en forma remota:

• Capturar y enviar información al intruso
• Ejecutar un servidor FTP
• Ejecutar un servidor Proxy (SOCKS4)
• Ejecutar un servidor web
• Capturar direcciones de correo del sistema
• Enviar mensajes
• Descargar y ejecutar archivos con códigos malignos
• Capturar teclas digitadas
• Capturar pantallas o imágenes en movimiento de web cams
• Activar un Sniffer de Puertos (capturador de información vía HTTP)
• Activar un Sniffer (capturador de información vía TCP)
• Crear o capturar imágenes WebCam
• Ejecutar Negaciones de Servicio o ataques DoS
• Ejecutar el comando remoto RLOGIN (*)

(*) Para ejecutar el comando RLOGIN el gusano crea el servicio RLOGIND que combina los nombres del Usuario Remoto y el del Usuario Local.

La información y parches para las vulnerabilidades mencionadas se pueden encontrar en los siguientes boletines emitidos por Microsoft:

• http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
• http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx
• http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx
• http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx

PER ANTIVIRUS® versión 9.1 con registro de virus al 11 de Febrero del 2005 detecta y elimina eficientemente este troyano/backdoor.