Rinbot.V

RINBOT.V gusano/backdoor redes con recursos compartidos SQL e IRC explota vulnerabilidades de Symantec y Microsoft.

W32/Rinbot.V

Rinbot.V es un destructivo gusano/backdoor reportado el 08 de Marzo del 2007, que se propaga a través de redes con recursos compartidos y servidores SQL, configurados con contraseñas débiles.

A través del puerto TCP 5767 (openmail-s) se conecta a un servidor IRC (Internet Chat Relay), donde activará un BOT que le permitirá ejecutar acciones arbitrarias y nocivas, incluso tomar el control de los sistemas infectados, en forma remota.

Roba información del sistema incluyendo claves de CDs. Explota la vulnerabilidad de elevación de Privilegio de Cliente del antivirus de Symantec y la saturación del buffer en el Servicio Remoto de Servidor Microsoft Windows.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, está desarrollado en Visual C++ con 207KB de extensión.

Al activarse se copia a la carpeta %System% sobre-escribiendo uno de los siguientes nombres de archivos legítimos:

csrs.exe
Isass.exe
iexplorer.exe
winamp.exe

y para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Client Server Runtime Process" = "%System%\csrs.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Local Security Authority Service" = "%System%\Isass.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Internet Explorer" = "%System%\iexplore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winamp Agent" = "%System%\winamp.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente re-inicio del equipo intenta ingresar a la carpeta IPC$ de los sistemas con recursos compartidos y servidores MS SQL configurados con contraseñas débiles, usando la siguiente lista de usuarios y contraseñas:

007
123
1234
12345
123456
1234567
12345678
123456789
1234567890
2001
2004
2005
abc
accounting
accounts
asd
bitch
blank
changeme
databasepass
databasepassword
db1
db1234
db2
dba
dbpass
dbpassword
deadline
default
demo
domainpass
domainpassword
exchange
fuck
hell
hello
letmein
login
loginpass
love
mail
money
nokia
null
oem
oeminstall
orainstall
outlook
pass
pass1234
passwd
password
password1
payday
pwd
qaz
qwe
qwerty
secret
sex
slut
sqlpassoainstall
temp
temp123
test
win2000
win2k
win98
windows
winnt
winpass
winxp
work
zxc

Actuando como Backdoor, a través de un puerto TCP que se encuentre se conecta a un servidor IRC (Internet Chat Relay) y une a un canal de chat desde el que activará un BOT que podrá ejecutar acciones nocivas, tales como:

Robar información del sistema y enviarla al autor del gusano.
Rastrear redes locales conectadas para infectarlas, incluyendo estaciones de trabajo
Descargar y ejecutar archivos con códigos malignos
Ejecutar un servidor HTTP y/o FTP
Actualizarse a sí mismo
Robar claves de de CDs
Terminar procesos de herramientas de análisis tales como Filemon, Regmon, Ethereal, etc.
Tomar control del sistema en forma remota

El gusano explota además las siguientes vulnerabilidades:

Elevación de Privilegio del antivirus Symantec Cliente (BID 18107)
Saturación del buffer en el Servicio Remoto de Servidor Microsoft Windows (BID 19409)

PER ANTIVIRUS® versión 10.0 con registro de virus al 08 de Marzo del 2007 detecta y elimina eficientemente este gusano/backdoor.