Spybot.ANKH

SPYBOT.ANKH troyano/backdoor de redes con recursos compartidos mIRC BOT de IRC explota vulnerabilidades.

W32/Spybot.ANKH

Spybot.ANKH es un destructivo troyano/backdoor residente en memoria reportado el 09 de Enero del 2007, que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles y el IRC (Internet Chat Relay) usando el puerto TCP 18715 y un canal de Chat.

Explota las antiguas vulnerabilidades del desbordamiento del buffer del RPC/DCOM, Buffer del proceso de la Librería ASN.1, Buffer de Servicio de Estaciones de Servicio, Saturación Remota del Buffer Ipswitch IMail, Autenticación de Routers Cisco y Elevaciónde Privilegio de Seguridad del Cliente del antivirus Symantec, descritas en los Boletines MS03-026, MS04-007, MS03-049, SecurityFocus.com 13727, SecurityFocus.com 18953 y el Symantec Advisory SYM06-010

Intenta propagarse a través del software de Chat mIRC y ejecuta comandos remotos, pudiendo tomar el control de los sistemas infectados.

Infecta a Windows 95/98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 67KB y protegido con rutinas propias del autor.

Una vez ingresado al sistema se copia a la carpeta %System% con el nombre de scrss.exe y para activarse la próxima vez que se re-inicie el sistema, modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"scrss" = "%System%\scrss.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"scrss" = "%System%\scrss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"scrss" = "%System%\scrss.exe"

para integrarse a las lista de aplicaciones autorizadas del Firewall de Windows agrega la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"%System%\scrss.exe" = "%System%\scrss.exe:*:Enabled:scrss"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo intenta propagarse a través del software de Chat mIRC y de las redes con recursos compartidos, configuradas con contraseñas débiles.

El troyano explota antiguas vulnerabilidades, que ya cuentan con sus respectivos parches.

Actuando como Backdoor se conecta a través del puerto TCP 18715 al servidor IRC (Internet Chat Relay) irc.reflexbn.net y se une a un canal de Chat desde el cual empleando un Bot recibirá instrucciones pudiendo ejecutar las siguientes acciones:

Descargar y ejecutar archivos con códigos malignos
Actualizar copias de sí mismo
Listar, detener, iniciar y terminar procesos
Revisar estaciones de trabajo con vulnerabilidades
Copiar y borrar archivos
Provocar Ataque DoS por los métodos SYN, ACK, SYN, UDP e ICMP
Establecer sesiones Telnet a través de ruteadores Cisco sin contraseña difrenete a la de fábrica.
Activar un servidor Ftpd
Detener servicios de seguridad
Use un sniffer de redes para interceptar el envío de paquetes en la red local

Finalmente se propaga en los sistemas con la vulnerabilidades arriba mencionadas y cuya información se encuentra contenida en:

PER ANTIVIRUS® versiones 9.9 y 10.0 con registro de virus al 09 de Enero del 2007 detectan y eliminan este troyano/backdoor.