|
W32/Rinbot.Y
Rinbot.Y es un destructivo gusano/backdoor reportado el 09 de Marzo del 2007, que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles.A través del puerto TCP 4873 se conecta a un servidor IRC (Internet Chat Relay), de diversos dominios FTP desde donde podrá ejecutar acciones arbitrarias y nocivas, incluso tomar el control de los sistemas infectados, en forma remota.
Intenta descargar ese mismo archivo BOT desde una carpeta de un dominio ubicado en Holanda.
Explota la vulnerabilidad de elevación de Privilegio de Cliente del antivirus de Symantec y la saturación del buffer en el Servicio Remoto de Servidor Microsoft Windows.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, está desarrollado en Visual C++ con 209KB de extensión.
Al activarse se copia a la carpeta %System% con el nombre de crsrs.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win32 Information Service" = "%System%\crsrs.exe
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.
Luego descarga un BOT
de IRC desde una carpeta de un portal ubicado en Holanda:
http://www.grafix.nl/phpbb/uploads/[Censurado]
Al siguiente re-inicio del equipo intenta ingresar a la carpeta IPC$ de los sistemas con recursos compartidos y servidores MS SQL configurados con contraseñas débiles, usando la siguiente lista de usuarios y contraseñas:
Actuando como Backdoor, a través del puerto TCP 4873 se conecta a un servidor IRC (Internet Chat Relay) de cualquiera de los dominios FTP:
y une a un canal de chat desde el que activará un BOT que podrá ejecutar acciones nocivas, tales como:
El gusano explota además las siguientes vulnerabilidades:
PER ANTIVIRUS® versión 10.0 con registro de virus al 09 de Marzo del 2007 detecta y elimina eficientemente este gusano/backdoor.
