Rinbot.BF

RINBOT.BF gusano/backdoor de IRC explota vulnerabilidades de Symantec y Microsoft descarga troyano, etc.

W32/Rinbot.BF

Rinbot.BF es un destructivo gusano/backdoor reportado el 19 de Abril del 2007, que se propaga a través de redes, explotando vulnerabilidades del Servicio de Llamada Remota de Procedimientos en el Servidor de Dominios de Microsoft, saturación del buffer en el Servicio Remoto de Servidor Microsoft Windows y la de elevación de Privilegios de Seguridad del antivirus Symantec Cliente.

Descarga un troyano desde un portal de venta en línea de artículos sexuales para adultos.

A través del puerto TCP 8080 (HTTP) se conecta a diversos servidores IRC (Internet Chat Relay) y desde determinados canales de chat ejecutará acciones nocivas y arbitrarias, en forma remota.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con 226KB de extensión.

Al activarse se copia a la carpeta %System% con el nombre de cnen.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"nClient" = "%System%\cnen.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nClient" = "%System%\cnen.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
"nClient" = "%System%\cnen.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"nClient" = "%System%\cnen.exe"

Para modificar o borrar las bitácoras de servicios de eventos de Windows crea las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EventLog\System\LDM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EventLog\System\NetDDE]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Para evitar ejecutarse más de una vez, crea el Mutex CN3nA.

Al siguiente re-inicio del equipo el gusano descarga un troyano desde un sub-diretorio de un portal de venta de artículos sexuales para adultos.

http://www.babsvideo.com/[Cencurado]/[Censurado].exe

Luego rastrea direcciones IP o dominios web que tengan las siguientes vulnerabilidades:

Actuando como Backdoor a través del puerto TCP 8080 (HTTP) se conecta a los siguientes servidores IRC (Internet Chat Relay) y se une a determinados canales de chat:

e.52e3bbafc627009ac13caff1200a0dbf.xxx
e.52e3bbafc627009ac13caff1200a0dbf.cn
e.52e3bbafc627009ac13caff1200a0dbf.us

desde los cuales podrá ejecutar acciones nocivas en forma remota, tales como:

Robar información del sistema y enviarla al autor del gusano.
Rastrear redes locales conectadas para infectarlas, incluyendo estaciones de trabajo.
Descargar y ejecutar archivos con códigos malignos.
Ejecutar un servidor HTTP y/o FTP
Actualizarse a sí mismo
Terminar procesos de herramientas de análisis tales como Filemon, Regmon, Ethereal, etc.

PER ANTIVIRUS® versiones 10.0 y 10.1 con registro de virus al 19 de Abril del 2007 detectan y eliminan eficientemente este gusano/backdoor.