W32/Rbot.VD, Troj/Rbot.VD

Rbot.VD es un destructivo troyano/backdoor reportado el 03 de Febrero del 2005, que infecta los sistemas de redes con recursos compartidos y los servidores SQL configurados con contraseñas débiles.  Explota las vulnerabilidades DCOM-RPC, LSASS, WebDAV y UPNP de los sistemas operativos de Microsoft Windows e Internet Explorer y hace uso de los Backdoors existentes en los sistemas infectados.

Termina los procesos de la mayoría de antivirus, descarga y ejecuta archivos con códigos malignos, permite que el intruso tome control en forma remota, pudiendo capturar las teclas digitadas, robar passwords, etc.

Ingresa además a diversos canales IRC (Internet Chat Relay) y ejecuta una diversidad de actividades nocivas y hasta destructivas.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez ingresado el gusano se auto-copia al directorio raíz de C:\ con un archivo de nombre aleatorio con extensión .PIF y a la carpeta %System% con el nombre de Winis.exe, y para ejecutares la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"update" = "%System%\Winis.exe" 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"update" = "%System%\Winis.exe" 
HKEY_CURRENT_USER\Software\Microsoft\OLE\update
"Winis.exe" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el se propaga a través de las redes con recursos compartidos, configuradas con contraseñas débiles y lo hace usando la cuenta y privilegios del usuario conectado, para acceder a los sistemas remotos. 

De conseguirlo, libera copias de sí mismo y las propaga en todos los recursos compartidos.

Aprovecha y explota las vulnerabilidades LSASS, DCOM-RPC, WebDAV, UPNP, desbordamiento del SQL, etc. cuya información y parches se encuentran en los siguientes boletines emitidos por Microsoft:

• http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx
• http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx
• http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx
• http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx

El gusano usa las capacidades Backdoor de variantes de diversos gusanos y troyanos, para descargar copias de sí mismo a los sistemas a infectar e incrementar su propagación.

Actuando netamente como Backdoor, el gusano se conecta como usuario de diversos canales de Chat, desde donde podrá realizar las siguientes acciones en forma remota:

• Ejecutar un servidor FTP
• Ejecutar un servidor Proxy
• Ejecutar un servidor web
• Ejecutar Negaciones de Servicio o ataques DoS
• Capturar teclas digitadas
• Capturar pantallas o imágenes en movimiento de web cams
• Activar un Sniffer de Puertos (capturador de información vía HTTP)
• Activar un Sniffer (capturador de información vía TCP)
• descargar y ejecutar archivos con códigos malignos
• Ejecutar el comando remoto RLOGIN (*)

[HKEY_CURRENT_USER(*) Para ejecutar el comando RLOGIN el gusano crea el servicio RLOGIND que combina los nombres del Usuario Remoto y el del Usuario Local.

PER ANTIVIRUS® versión 9.1 con registro de virus al 03 de Febrero del 2005 detecta y elimina eficientemente este troyano/backdoor.