W32/Spybot.EAS, Backdoor.Spybot.EAS.IRC

Spybot.EAS es un destructivo gusano/troyano/backdoor reportado el 1o de Octubre del 2004, que se propaga a través del IRC (Internet Chat Relay), actuando como Backdoor se conecta al puerto TCP 6667 desde donde puede controlar remotamente los sistemas infectados.  Borra recursos compartidos ocultos de red, captura, envía información y recibe instrucciones del autor del virus. Roba los ID y claves de software instalados y ocasionas ataques DoS.

Esta especie viral aprovecha las siguientes vulnerabilidades:

Desbordamiento del Buffer del Universal Plug and Play, descrito en el Boletín de Microsoft MS01-059:

http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx

Desbordamiento del Buffer del Servicio Remoto descrito en el Boletín de Microsoft MS04-011:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Es un PE (Portable Ejecutable) e infecta a Windows/NT/Me/2000/XP, incluyendo los servidores NT/2000/2003, con una extensión variable, está desarrollado en Visual C++ y comprimido con el utilitario PEtite Win32 Executable Compressor:

http://www.un4seen.com/petite

Una vez ingresado a un sistema se copia a la carpeta %System% con el nombre de Winupdate.exe y para activarse la siguiente vez que se inicie el sistema agregas las siguientes llaves de registro:

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "winupdate.reg" = "%System%\winupdate.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  "winupdate.reg" = "%System%\winupdate.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "winupdate.reg" = "%System%\winupdate.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  "winupdate.reg" = "%System%\winupdate.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Agrega además el valor "con.exe" a la llave de registro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]

Al siguiente inicio del sistema, el gusano revisa las unidades de disco del sistema infectado y roba los códigos e información de los siguientes software:

• Microsoft Messenger (MSN)
• ID de productos de Microsoft Windows
• Yahoo Messenger
• AOL Instant Messenger (AIM)

extrae los ID y claves de los siguientes juegos de PC, en caso estuviesen instalados:

• Black and White
• Battlefield 1942: Vietnam
• Battlefield 1942: The Road To Rome
• Battlefield 1942: Secret Weapons Of WWII
• Battlefield 1942
• Counter-Strike
• Command and Conquer: Tiberian Sun
• Command and Conquer: Red Alert2
• Command and Conquer: Generals: Zero Hour
• Command and Conquer: Generals
• Call of Duty
• Unreal Tournament 2004
• Unreal Tournament 2003
• The Gladiators
• Soldier of Fortune II - Double Helix
• Soldiers Of Anarchy
• Shogun: Total War: Warlord Edition
• Ravenshield
• Neverwinter Nights
• Need For Speed: Underground
• Need For Speed: Hot Pursuit 2
• NHL 2003
• NHL 2002
• Nascar Racing 2003
• Nascar Racing 2002
• Medal of Honor: Allied Assault: Spearhead
• Medal of Honor: Allied Assault: Breakthrough
• Medal of Honor: Allied Assault
• James Bond 007: Nightfire
• Industry Giant 2
• IGI2: Covert Strike
• Hidden and Dangerous 2
• Gunman Chronicles
• Global Operations
• Freedom Force
• FIFA 2003
• FIFA 2002

Revisa las unidades de disco de las redes infectadas y borra los siguientes atributos ocultos:

• $ipc
• $admin
• $c
• $d

Este troyano posee un motor IRC (Internet Chat Relay) propietario, el cual le permite actuar como Backdoor de Control Remoto, mediante el cual se conecta a un canal de Chat, envía información a su autor y ejecuta una diversidad de payloads nocivos en forma remota, tales como:

• Listar, iniciar y detener procesos.
• Descargar y ejecutar archivos con códigos malignos.
• Robar información del sistema y enviarla al autor del virus.
• Revisar las redes que puedan ejecutar troyanos y re-activarlos.
• Redireccionar puertos TCP.
• Activar un proxy con sockets 4/5
• Ejecutar ataques de negación de servicio DoS.

Los payloads de este troyano/backdoor son los siguientes:

• Se propaga a través del IRC (Internet Chat Relay).
• Captura información y claves de software de mensajería instantánea y productos de Microsoft.
• Captura y roba ID y claves de juegos de PC.
• Envía información al hacker a través del Chat.
• Borra algunos recursos compartidos configurados con el atributo de oculto.
• Actuando como Backdoor se conecta al puerto TCP 6667 desde donde puede controlar remotamente los sistemas infectados.
• Ejecuta ataques DOS y de saturación SYN, PING y UPD, que disminuyen el rendimiento o colapsan los sistemas.

PER ANTIVIRUS® versión 8.9 con registro de virus al 1o de Octubre del 2004 detecta y elimina  eficientemente este gusano/troyano/backdoor.