|
SPYBOT.FBG gusano/backdoor de IRC controla remotamente roba información
ejecuta ataques DoS, etc.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Spybot.FBG,
W32/SpyBot.AME, Backdoor.Spybot.FBG.IRC
 |
|
Spybot.FBG
es un
destructivo gusano/backdoor
reportado el 19 de Octubre del 2004, que se propaga a través del IRC
(Internet Chat Relay),
actuando como Backdoor se conecta a un
canal de Chat desde el cual controla remotamente los sistemas
infectados. Intenta
ingresar a redes con IP aleatorias, borra recursos
compartidos ocultos, extrae, envía información y recibe instrucciones del autor del virus. Roba los
ID y claves de software instalados y ocasionas ataques DoS. |
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003 con 44.5 KB de extensión.
Ingresado al sistema crea el Mutex "-rb0t-serv3r"
para impedir activarse más de una vez.
Se copia a la carpeta
%System%
con el nombre de Fwr.exe
y para ejcutarse la siguiente vez que se inicie el sistema agrega las
siguientes llaves de registro:
-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Fwr Command Module" =
"%System%\Fwr.exe"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Fwr Command Module" = "%System%\Fwr.exe"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Fwr Command Module" = "%System%\Fwr.exe"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP.
Al siguiente re-inicio intenta ingresar a
otros sistemas de una lista de direcciones IP generadas
aleatoriamente, usando contraseñas cifradas. De lograr ingresar se
copia a una de las siguientes rutas con los nombres:
- IPC$\fwr.exe
- D$\fwr.exe
- print$\fwr.exe
- c$\fwr.exe
- Admin$\fwr.exe
- c$\windows\system32\fwr.exe
- c$\winnt\system32\fwr.exe
- Admin$\system32\fwr.exe
Las contraseñas empleadas son una de las
siguientes:
- !@#$
- !@#$%
- !@#$%^
- !@#$%^&
- !@#$%^&*
- 000
- 0000
- 00000
- 000000
- 00000000
- 007
- 0wn3d
- 0wned
- 110
- 111
- 111111
- 11111111
- 121
- 121212
- 123
- 123123
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 12346
- 123467
- 1234678
- 12346789
- 123467890
- 1234qwer
- 123abc
- 123asd
- 123qwe
- 2002
- 2003
- 2600
- 54321
- 654321
- ACCESS
- ADMIN
- ADMINISTRATOR
- Admin
- Administrador
- Administrateur
- Administrator
- CISCO
- Cisco
- GUEST
- Guest
- PASSWORD
- Password
- ROOT
- Root
- USER
- Unknown
- User
- WindowsXP
- aaa
- abc
- abc123
- abcd
- access
- account
- accounting
- accounts
- adm
- admin
- admin123
- administrator
- afro
- asd
- backup
- barbara
- bill
- blank
- brian
- bruce
- capitol
- changeme
- cisco
- compaq
- control
- ctx
- data
- database
- databasepass
- databasepassword
- db1
- db1234
- dbpass
- dbpassword
- default
- dell
- domain
- domainpass
- domainpassword
- exchange
- exchnge
- fish
- frank
- fred
- freddy
- f*!k (censored)
- george
- glen
- god
- guest
- headoffice
- heaven
- hell
- home
- homeuser
- ian
- internet
- intranet
- joan
- joe
- john
- kate
- katie
- lan
- lee
- login
- loginpass
- luke
- mail
- main
- mary
- mass
- mike
- neil
- nokia
- none
- null
- oem
- oeminstall
- oemuser
- office
- orange
- outlook
- owa
- pass
- pass123
- pass1234
- passphra
- passwd
- password
- password1
- password123
- peter
- pink
- qaz
- qwe
- qwerty
- ron
- root
- sage
- sam
- server
- sex
- siemens
- spencer
- sql
- sqlpass
- staff
- student
- student1
- sue
- susan
- system
- teacher
- technical
- test
- turnip
- unknown
- user
- user1
- usermane
- username
- userpassword
- web
- win
- win2000
- win2k
- win98
- windose
- windows
- windows2k
- windows95
- windows98
- windowsME
- windowz
- windoze
- windoze2k
- windoze95
- windoze98
- windozeME
- windozexp
- wine
- wing
- winnt
- winpass
- winston
- winxp
- wired
- www
- xxx
- xxxx
- xxxxx
- xxxxxx
- xxxxxxx
- xxxxxxxx
- xxxxxxxxx
- yellow
al ingresar revisa las unidades de disco de las redes
infectadas y borra los atributos ocultos:
extrae los ID y claves de los siguientes juegos
de PC, en caso de estar instalados:
- Command & Conquer Generals
- FIFA 2003
- Need For Speed Hot Pursuit 2
- Call of Duty
- Soldier of Fortune II - Double Helix
- Neverwinter Nights
- Rainbow Six III RavenShield
- Battlefield 1942 Road To Rome
- Battlefield 1942
- Project IGI 2
- Counter-Strike
- Unreal Tournament 2003
- Half-Life
El gusano posee un motor
IRC
(Internet Chat Relay), el cual le permite actuar como Backdoor de Control Remoto,
y se conecta al canal loser.ezirc.net, envía información al
autor y ejecuta acciones nocivas, tales
como:
- Listar, iniciar y detener procesos.
- Descargar y ejecutar archivos con
códigos malignos.
- Robar información del sistema y
enviarla al autor del virus.
- Redireccionar puertos TCP.
- Activar un proxy con sockets 4
- Ejecutar ataques de negación de
servicio DoS.
- Enviar mensajes de masivos de correo
usando su propio motor SMTP.
Los payloads
de este troyano/backdoor son los siguientes:
- Se propaga a través del IRC
(Internet Chat Relay).
- Intenta ingresar a
otros sistemas remotos usando contraseñas cifradas.
- Borra algunos recursos compartidos
configurados con atributos ocultos.
- Actuando como Backdoor se conecta al canal de
Chat loser.ezirc.net desde donde
controlará remotamente los sistemas
infectados.
- Captura información del sistema y roba ID y claves de juegos de
PC.
- Ejecuta ataques DOS y de saturación SYN, PING y UPD, que
disminuyen el rendimiento o colapsan los sistemas.
PER ANTIVIRUS®
versión 8.9 con registro de virus al 19 de
Octubre del 2004 detecta y elimina eficientemente este
gusano/backdoor.
