W32/Rinbot.H

Al parecer los intrusos habrían ingresado subrepticiamente a estos dominios, creando carpetas desde las cuales han tomado su control.  

Intenta además ingresar a redes con recursos compartidos configuradas con contraseñas débiles. Ejecuta comandos remotos y roba información del sistema incluyendo claves de CDs'.

Explota las vulnerabilidades de elevación de Privilegio del Cliente del antivirus de Symantec, saturación del buffer en el Servicio Remoto de Servidor Microsoft Windows y la saturación del buffer de autenticación remota del Servidor Microsoft SQL.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, está desarrollado en Visual C++ con 205KB de extensión.

Al activarse se copia a la carpeta %System% con el nombre de mstscc.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Terminal Services" = "%System%\mstscc.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP. 

Al siguiente re-inicio del equipo intenta ingresar a la carpets IPC$ de los sistemas con recursos compartidos, configurados con contraseñas débiles, usando la siguiente lista de usuarios y contraseñas:

• administrator
• administrador
• administrateur
• administrat
• admins
• admin
• adm
• password1
• password
• passwd
• pass1234
• pass
• pwd
• 007
• 123
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234567890
• 2000
• 2001
• 2002
• 2003
• 2004
• test
• guest
• none
• demo
• unix
• linux
• changeme
• default
• system
• server
• root
• null
• qwerty
• mail
• outlook
• web
• www
• internet
• accounts
• accounting
• home
• homeuser
• user
• oem
• oemuser
• oeminstall
• windows
• win98
• win2k
• winxp
• winnt
• win2000
• qaz
• asd
• zxc
• qwe
• bob
• jen
• joe
• fred
• bill
• mike
• john
• peter
• luke
• sam
• sue
• susan
• peter
• brian
• lee
• neil
• ian
• chris
• eric
• george
• kate
• bob
• katie
• mary
• login
• loginpass
• technical
• backup
• exchange
• fuck
• bitch
• slut
• sex
• god
• hell
• hello
• domain
• domainpass
• domainpassword
• database
• access
• dbpass
• dbpassword
• databasepass
• data
• databasepassword
• db1
• db2
• db1234
• sql
• sqlpassoainstall
• orainstall
• oracle
• ibm
• cisco
• dell
• compaq
• siemens
• nokia
• control
• office
• blank
• winpass
• main
• lan
• internet
• intranet
• student
• teacher
• staff

luego busca aleatoriamente cualquier puerto TCP y después se conecta a un servidor IRC (Internet Chat Relay) en uno de los siguientes dominios, esta vez usando el puerto TCP 8080:

• crusade.godhatesfags.com (portal homofóbico)
• x.sans-security.org (portal de Seguridad)
• x.rofflewaffles.us (dominio parqueado)
• x.pennysheet.com (actualmente desactivado)

desde cualquiera de los cuales al que se conecte podrá ejecutar acciones nocivas, tales como:

• Robar información del sistema y enviarla al autor del gusano.
• Rastrear redes locales conectadas para infectarlas, incluyendo estaciones de trabajo.
• Descargar y ejecutar archivos con códigos malignos.
• Ejecutar un servidor HTTP y/o FTP
• Actualizarse a sí mismo
• Robar claves de de CDs
• Terminar procesos de herramientas de análisis tales como Filemon, Regmon, Ethereal, etc.

Al parecer los intrusos habrían ingresado subrepticiamente a los dominios mencionados, creando carpetas desde las cuales han tomado control. 

El gusano explota además las siguientes vulnerabilidades:

• Elevación de Privilegio del antivirus Symantec Cliente (BID 18107)
• Saturación del buffer en el Servicio Remoto de Servidor Microsoft Windows (BID 19409)
• Saturación del buffer de autenticación remota del Servidor Microsoft SQL (BID 5411) puerto UDP 1434

PER ANTIVIRUS® versión 10.0 con registro de virus al 27 de Febrero del 2007 detecta y elimina  eficientemente este gusano/backdoor.