|
SPYBOT.ACDM gusano/backdoor de AOL IRC y vulnerabilidades de Microsoft con acciones destructivas.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Spybot.ACDM, Backdoor.Spybot.ACDM.IRC
|
|
Spybot.ACDM es un destructivo gusano/backdoor reportado el 23
de Diciembre del 2005, que se propaga a través de varios medios, incluyendo el servicio de Mensajería Instantánea AOL y explota varias vulnerabilidades de los sistemas
de Microsoft.
Abre un Backdoor través de un servidor IRC (Internet Chat Relay) se conecta vía el puerto TCP
53 desde donde podrá ejecutar acciones destructivas y controlar remotamente los sistemas infectados. Crea y modifica varias llaves y sub-llaves de registro para desestabilizar los sistemas infectados.
|
Es un PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP
y Server 2003 con una extensión de 100 KB, está desarrollado en Visual C++ y comprimido con el utilitario PEtite Win32
Executable Compressor:
http://www.un4seen.com/petite
Una vez ingresado a un sistema se copia a la carpeta %Windir% con el nombre de Winrpc.exe y cada vez que se re-inicie el sistema se registra como un servicio RPC para lo cual agrega los siguientes valores:
"ImagePath" = "%Windir%\winrpc.exe"
"DisplayName" = "Windows RPC Services"
"Description" = "Manages Windows RPC Services"
a la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\winrpc]
creando además la siguiente sub-llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINRPC]
para modificar la configuración del Windows Security Center, agrega los valores:
"UpdatesDisableNotify" = "1"
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"
a la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
para modificar la configuración del Firewall de Windows agrega el valoro:
"EnableFirewall" = "0"
a las llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
para deshabilitar la función de Auto Actualización de Windows modifica la sub-llave::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions" = "1"
para evitar el inicio automático de determinados programas al inicio del sistema agrega el valor:
"Start" = "4"
a las sub-llaves:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wscsvc]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteRegistry]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Messenger]
para disminuir los niveles de seguridad agrega los valores:
"AutoShareWks" = "0"
"AutoShareServer" = "0"
a las sub-llaves:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanworkstation\parameters]
para impedir que el SP2 de Windows XP sea instalado en el sistema infectado agrega el valor:
"DoNotAllowXPSP2" = "1"
a la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
para deshabilitar el DCOM modifica la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\OLE]
"EnableDCOM" = "N"
para modificar el acceso a las redes con recursos compartidos modifica la sub-llave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"restrictanonymous" = "1"
para impedir que el servicio activado por el gusano sea terminado crea la sub-llave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control]
"WaitToKillServiceTimeout" = "7000"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio del equipo el gusano crea el Mutex dxuadhijpeadhae, para evitar infectar un sistema más de una vez. En caso detectar la presencia de un programa depurador (debugger)
o VmWare Virtual Machine terminará su ejecución.
Luego termina los siguientes procesos, en caso estuviesen en ejecución:
- Tlntsvr
- RemoteRegistry
- Messenger
- SharedAccess
- wscsvc
e intenta borrar los recursos compartidos de la red.
Envía una copia del gusano a los contactos de la mensajería instantánea de AOL y explota las vulnerabilidades de Microsoft:
- Desbordamiento del Buffer del proceso de la Librería ASN.1 (Boletín MS05-017).
- Desbordamiento del Buffer del Mensaje de Cola (Boletín MS04-007)
- Desbordamiento del Buffer del Plug and Play (Boletín MS05-039)
- Desbordamiento del Buffer de Servicios de Estaciones de Trabajo (Boletín MS03-049)
Abre un Backdoor y se conecta al servidor IRC (Internet Chat Relay) smtp.girlsontheblock.com, vía el puerto TCP 53
permitiendo al intruso ejecutar en forma remota las siguientes acciones:
- Descargar y ejecutar archivos.
- Leer, escribir y borrar valores de las llaves de registro.
- Extraer la información de la página de Inicio del Internet Explorer.
- Capturar y encriptar archivos y enviarlos vía el IRC al intruso.
- Rastrear puertos abiertos para ingresar a servidores con determinadas vulnerabilidades.
- Listar y terminar hilos.
- Borrar recursos compartidos y deshabilitar el DCOM.
- Ejecutar ataques de negación de servicio DoS vía ACK, SYN, UDP y ICMP.
- Robar las contraseñas de usuarios de Windows, ubicada en la memoria temporal.
PER ANTIVIRUS® versión 9.5 con registro de virus al 23 de Diciembre del 2005 detecta y elimina
eficientemente este gusano/backdoor.
