W32/Spybot.JPB, Backdoor.Spybot.JPB.IRC

Spybot.JPB es un destructivo gusano/troyano/backdoor reportado el 16 de Febrero del 2005, que se propaga en Redes con recursos compartidos configuradas con contraseñas débiles con un archivo de nombre MDNS.exe y explota varias vulnerabilidades de los sistemas de Microsoft. A través de un canal IRC (Internet Chat Relay), se conecta al puerto TCP 8126 desde donde podrá ejecutar acciones destructivas y controlar remotamente los sistemas infectados.

Explota las vulnerabilidades DCOM RPC (Boletín MS03-026), el Servicio Remoto de Control de Seguridad de Desbordamiento del Buffer (Boletín MS04-011), desbordamiento del Buffer de Servicios de Estaciones de Trabajo (Boletín MS03-049), desbordamiento del Buffer del Universal Plug and Play (Boletín MS01-059), vulnerabilidades de los servidores SQL (Boletín MS02-061) y Servidor de Mini Control Remoto del DameWare (Boletín CAN-2003-0960)

Es un PE (Portable Ejecutable) e infecta a Windows/NT/Me/2000/XP, incluyendo los servidores NT/2000/2003 con una extensión de 102 KB, está desarrollado en Visual C++ y comprimido con el utilitario PEtite Win32 Executable Compressor:

http://www.un4seen.com/petite

Una vez ingresado a un sistema se copia a la carpeta %System% con el nombre de MDNS.exe con el atributo de "oculto" y para activarse la siguiente vez que se re-inicie el sistema agrega las siguientes llaves de registro:

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "MDN" = "%System%\MDNS.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "MDN" = "%System%\MDNS.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "MDN" = "%System%\MDNS.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "MDN" = "%System%\MDNS.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente inicio del sistema, el gusano abre un Backdoor que se conecta a un canal IRC (Internet Chat Relay), en el dominio hey.pj34r.us a través del puerto TCP 8126 permitiendo al intruso ejecutar en forma remota las siguientes acciones:

• Descargar y ejecutar archivos.
• Listar, iniciar o detener procesos e hilos.
• Ejecutar ataques de negación de servicio DoS vía ACK, SYN, UDP y ICMP.
• Redireccionar puertos TCP
• Extraer y enviar archivos vía el canal de Chat.
• Enviar mensajes de correo usando su propio motor SMTP.
• Ejecutar servidores locales HTTP, FTP, o FTP.
• Capturar teclas digitadas.
• Acceder a recursos compartidos y copiarse a los mismos.
• Rastrear puertos para ingresar a servidores con determinadas vulnerabilidades.
• Capturar pantallazos, datos de la pizarra y tomas de cámaras Web.
• Visitar direcciones URL
• Saturar los cache de DNS y ARP.
• Abrir o ejecutar un comando shell en los sistemas infectados.
• Activar un Proxy con un SOCKS4.
• Agregar y borrar recursos compartidos y deshabilitar el DCOM.
• Reiniciar el sistema en forma remota.
• Interceptar paquetes en la red local.
• Robar las contraseñas de usuarios de Windows, ubicada en la memoria temporal.

Intenta propagarse a través de los Backdoors abiertos por variantes de los gusanos Beagle, Mydoom, Netdevil y Optix, en caso existiesen en los sistemas infectados. Extrae además los ID y claves de muchos juegos de PC.

Genera direcciones IP en forma aleatoria, intentando ingresar a las redes con recursos compartidos haciendo uso de una lista compuesta por las siguientes contraseñas:

• 007
• 123
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234567890
• 2000
• 2001
• 2002
• 2003
• 2004
• access
• accounting
• accounts
• adm
• administrador
• administrat
• administrateur
• administrator
• admins
• asd
• backup
• bill
• bitch
• blank
• bob
• brian
• changeme
• chris
• cisco
• compaq
• computer
• control
• data
• database
• databasepass
• databasepassword
• db1
• db1234
• db2
• dba
• dbpass
• dbpassword
• default
• dell
• demo
• domain
• domainpass
• domainpassword
• eric
• exchange
• fred
• fuck
• george
• god
• guest
• hell
• hello
• home
• homeuser
• ian
• ibm
• internet
• intranet
• jen
• joe
• john
• kate
• katie
• lan
• lee
• linux
• loginpass
• luke
• mail
• main
• mary
• mike
• neil
• nokia
• none
• null
• oem
• oeminstall
• oemuser
• office
• oracle
• orainstall
• outlook
• owner
• pass
• pass1234
• passwd
• password
• password1
• peter
• pwd
• qaz
• qwe
• qwerty
• sam
• server
• sex
• siemens
• slut
• sql
• sqlpassoainstall
• staff
• student
• sue
• susan
• teacher
• technical
• test
• unix
• web
• win2000
• win2k
• win98
• windows
• winnt
• winpass
• winxp
• www
• wwwadmin
• zxc

La información y parches para las vulnerabilidades mencionadas pueden ser descargados desde:

• http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
• http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
• http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx
• http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx
• http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx
• http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0960

PER ANTIVIRUS® versión 9.1 con registro de virus al 16 de Febrero del 2005 detecta y elimina  eficientemente este gusano/troyano/backdoor.