Rinbot.L

RINBOT.L gusano/backdoor de IRC (Internet Chat Relay) explota vulnerabilidades de Symantec y Microsoft, etc.

W32/Rinbot.L

Rinbot.L es un destructivo gusano/backdoor reportado el 1o de Marzo del 2007, que se propaga a través de un canal del IRC (Internet Chat Relay), abriendo previamente el puerto TCP 5454 (apc), que permite establecer envío de paquetes de data en forma directa y ordenada.

Intenta además ingresar a redes con recursos compartidos configuradas con contraseñas débiles. Ejecuta comandos remotos y roba información del sistema incluyendo claves de CDs.

Explota las vulnerabilidades de elevación de Privilegio del Cliente del antivirus de Symantec, saturación del buffer en el Servicio Remoto de Servidor Microsoft Windows y la saturación del buffer de autenticación remota del Servidor Microsoft SQL.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, está desarrollado en Visual C++ con 209KB de extensión.

Al activarse se copia a la carpeta %System% con el nombre de rst.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Random Interface Network" = "%System%\rst.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente re-inicio del equipo intenta ingresar a la carpeta IPC$ de los sistemas con recursos compartidos, configurados con contraseñas débiles, usando la siguiente lista de usuarios y contraseñas:

administrator
administrador
administrateur
administrat
admins
admin
adm
password1
password
passwd
pass1234
pass
pwd
007
123
1234
12345
123456
1234567
12345678
123456789
1234567890
2000
2001
2002
2003
2004
test
guest
none
demo
unix
linux
changeme
default
system
server
root
null
qwerty
mail
outlook
web
www
internet
accounts
accounting
home
homeuser
user
oem
oemuser
oeminstall
windows
win98
win2k
winxp
winnt
win2000
qaz
asd
zxc
qwe
bob
jen
joe
fred
bill
mike
john
peter
luke
sam
sue
susan
peter
brian
lee
neil
ian
chris
eric
george
kate
bob
katie
mary
login
loginpass
technical
backup
exchange
fuck
bitch
slut
sex
god
hell
hello
domain
domainpass
domainpassword
database
access
dbpass
dbpassword
databasepass
data
databasepassword
db1
db2
db1234
sql
sqlpassoainstall
orainstall
oracle
ibm
cisco
dell
compaq
siemens
nokia
control
office
blank
winpass
main
lan
internet
intranet
student
teacher
staff

Actuando como Backdoor, a través del puerto TCP 5454 se conecta al servidor IRC (Internet Chat Relay) holla.sw1tchbck.net y se une a un canal de chat desde el que podrá ejecutar acciones nocivas, tales como:

Robar información del sistema y enviarla al autor del gusano.
Rastrear redes locales conectadas para infectarlas, incluyendo estaciones de trabajo.
Descargar y ejecutar archivos con códigos malignos.
Ejecutar un servidor HTTP y/o FTP
Actualizarse a sí mismo
Robar claves de de CDs
Terminar procesos de herramientas de análisis tales como Filemon, Regmon, Ethereal, etc.

El gusano explota además las siguientes vulnerabilidades:

Elevación de Privilegio del antivirus Symantec Cliente (BID 18107)
Saturación del buffer en el Servicio Remoto de Servidor Microsoft Windows (BID 19409)
Saturación del buffer de autenticación remota del Servidor Microsoft SQL (BID 5411) puerto UDP 1434

PER ANTIVIRUS® versión 10.0 con registro de virus al 1o de Marzo del 2007 detecta y elimina eficientemente este gusano/backdoor.