|
W32/Rinbot.AN
Rinbot.AN es un destructivo gusano/backdoor reportado el 30 de Marzo del 2007, que se propaga a través de un servidor IRC (Internet Chat Relay), abriendo previamente el puerto TCP 4095.Explota vulnerabilidades de la elevación de Privilegio del Cliente del antivirus de Symantec.
Intenta ingresar a redes con recursos compartidos configuradas con contraseñas débiles.
Descarga un Backdoor desde un portal ubicado en Taiwan y ejecuta comandos remotos robando información del sistema incluyendo claves de CDs.
Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/Me/2000/XP y Server 2003 está desarrollado en Visual C++ con 202KB de extensión.
Al activarse se copia a la carpeta %System% con el nombre de bootchk.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Boot Check" = "%System%\bootchk.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.
Al siguiente inicio del equipo se conecta al portal:
http://220.133.168.202 (sitio crackeado de http://www.hinet.net) ubicado en Taiwán.
desde el cual descarga el archivo apend.exe, que es un Backdoor y a través del puerto TCP 4095 se conecta a un servidor IRC (Internet Chat Relay) ubicado en el dominio:
http://0s.hybridtx.com/
el cual también ha sido vulnerado y desde donde ejecuta las siguientes acciones:
intenta ingresar a la carpeta IPC$ de los sistemas con recursos compartidos, configurados con contraseñas débiles, usando una extensa lista de usuarios y contraseñas.
El gusano explota además las siguientes vulnerabilidades:
PER ANTIVIRUS® versión 10.0 con registro de virus al 30 de Marzo del 2007 detecta y elimina eficientemente este gusano/backdoor.
