Rbot.TX

RBOT.XT destructivo troyano/backdoor de IRC y redes de recursos compartidos con vulnerabilidades, etc.

W32/Rbot.XT, Troj/Rbot.XT

Rbot.XT es un destructivo troyano/backdoor reportado el 10 de Agosto del 2005, que infecta los sistemas con un archivo MSDOS.PIF propagándose a través del IRC (Internet Chat Relay) o en redes con recursos compartidos configuradas con contraseñas débiles.

Actúa como un Bot de IRC y ejecuta un servidor IDENTD vía el puerto TCP 113.

Explota las vulnerabilidades DCOM RPC (Llamada Remota de Procedimientos) y el WKSSVC (Saturación del Buffer de Servicio de Estaciones de Trabajo).

Se conecta a diversos canales IRC (Internet Chat Relay) y ejecuta acciones nocivas y hasta destructivas.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano se auto-copia a la carpeta %System% el nombre de archivo MSDOS.PIF y para ejecutarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSDOS Windows Service" = "%System%\MSDOS.PIF"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MSDOS Windows Service" = "%System%\MSDOS.PIF"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"MSDOS Windows Service" = "%System%\MSDOS.PIF"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio actuando como Backdoor se conecta a través del puerto TCP 4564 a los servidores IRC:

MSDOS.service.security32.com
MSDOS.service.windows32.com

y se une al canal #zwn#, que está protegido con una contraseña y actúa como un Bot. También ejecuta un servidor IDENTD (identificador de usuarios) vía el puerto TCP 113 pudiendo ejecutar entre otras, las siguientes acciones en forma remota:

Capturar información del sistema, redes, estaciones y unidades de disco.
Buscar redes con recursos compartidos con vulnerabilidades.
Descargar y ejecutar archivos con códigos malignos.
Ejecutar un servidor FTP
Ejecutar un servidor TFTP
Ejecutar Negaciones de Servicio con los comandos SYN, ICMP y UDP.
Operar el Bot uniéndose a otros canales de Chat, cambiando de nicknames (apodos), etc.
Actualizar el backdoor desde la web.
Ejecutar el comando remoto oculto CMD.EXE

se propaga a través de redes con recursos compartidos intentado usar la cuenta y privilegios de Administrador, para acceder a los sistemas remotos configurados con contraseñas débiles, usando los puertos TCP 135, 139 y 445 y de conseguirlos libera una copia de sí mismo en las carpetas:

Admin$\\system32
admin$
c$
d$

El Bot explota las vulnerabilidades DCOM RPC y el WKSSVC (Saturación del Buffer de Servicio de Estaciones de Trabajo) cuya información y parche se pueden descargar desde:

NOTA: Bot es la abreviatura de "robot" aplicado a un programa que contiene instrucciones para actuar en forma independiente, pudiendo realizar una diversidad de comandos o acciones en forma automática.

Un BOT del IRC (Internet Chat Relay) es un programa que se ubica en un determinado canal del Chat de un servidor y está activo durante las 24 horas del día.

Permanece en el mismo como un usuario normal, hasta que de acuerdo a sus instrucciones sea invocado para ejecutar una o más determinadas acciones. Puede además ser controlado en forma remota.

PER ANTIVIRUS® versión 9.4 con registro de virus al 10 de Agosto del 2005 detecta y elimina eficientemente este troyano/backdoor.