W32/Spybot.KHC, Backdoor.Spybot.KHC.IRC

Spybot.KHC es un destructivo gusano/backdoor reportado el 1o de Marzo del 2005, que se propaga en Redes con recursos compartidos configuradas con contraseñas débiles con un archivo de nombre pingppac.exe y explota varias vulnerabilidades de los sistemas de Microsoft. A través de un canal IRC (Internet Chat Relay), se conecta al puerto TCP 8080 desde donde podrá ejecutar acciones destructivas y controlar remotamente los sistemas infectados.

Hace uso de las puertas traseras abiertas por otros conocidos gusanos y potente Backdoors.

Explota las vulnerabilidades DCOM RPC (Boletín MS03-026), el Servicio Remoto de Control de Seguridad de Desbordamiento del Buffer (Boletín MS04-011), desbordamiento del Buffer de Servicios de Estaciones de Trabajo (Boletín MS03-049), desbordamiento del Buffer del Universal Plug and Play (Boletín MS01-059), vulnerabilidades de los servidores SQL (Boletines MS02-056 y MS02-061) y Servidor de Mini Control Remoto del DameWare (Boletín CAN-2003-0960)

Es un PE (Portable Ejecutable) e infecta a Windows/NT/Me/2000/XP, incluyendo los servidores NT/2000/2003 con una extensión de 105 KB, está desarrollado en Visual C++ y comprimido con el utilitario PEtite Win32 Executable Compressor:

http://www.un4seen.com/petite

Una vez ingresado al sistema se auto-copia a la carpeta %System% como pingppac.exe y para activarse la siguiente vez que se inicie el equipo agrega las siguientes llaves de registro:

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "PPPOEO" = "%System%\pingppac.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "PPPOEO" = "%System%\pingppac.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\OLE]
  "PPPOEO" = "%System%\pingppac.exe"

para deshabilitar el DCOM modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\OLE]
"EnableDCOM" = "N" 

para modificar el acceso a los recursos compartidos de red modifica la llave:

[HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa]
"restrictanonymous" = "1" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente re-inicio del sistema, el gusano abre un Backdoor que se conecta a un canal IRC (Internet Chat Relay), en el dominio def.pj34r.us, a través del puerto TCP 8080, permitiendo al intruso ejecutar en forma remota las siguientes acciones:

• Descargar y ejecutar archivos.
• Listar, iniciar o detener procesos e hilos.
• Ejecutar ataques de negación de servicio DoS vía ACK, SYN, UDP y ICMP.
• Redireccionar puertos TCP
• Extraer y enviar archivos vía el canal de Chat.
• Enviar mensajes de correo usando su propio motor SMTP.
• Ejecutar servidores locales HTTP, FTP, o FTP.
• Capturar teclas digitadas.
• Acceder a recursos compartidos y copiarse a los mismos.
• Rastrear puertos para ingresar a servidores con determinadas vulnerabilidades.
• Capturar pantallazos, datos de la pizarra y tomas de cámaras Web.
• Visitar direcciones URL
• Saturar los cache de DNS y ARP.
• Abrir o ejecutar un comando shell en los sistemas infectados.
• Activar un Proxy con un SOCKS4.
• Agregar y borrar recursos compartidos y deshabilitar el DCOM.
• Borrar valores de registros de otros programas o gusanos. 
• Reiniciar el sistema en forma remota.
• Interceptar paquetes en la red local.
• Robar las contraseñas de usuarios de Windows, ubicada en la memoria temporal.

Rastrea los sistemas que tengan las vulnerabilidades antes mencionadas. 

Se propaga además haciendo uso de las puertas traseras abiertas por las variantes de los gusanos Beagle, Sasser, Mydoom y de los Backdoors NetDevil, Subseven, Kuang y Optix. 

Extrae también los ID y claves de muchos juegos de PC.

Genera direcciones IP en forma aleatoria, intentando ingresar a las redes con recursos compartidos haciendo uso de una lista compuesta por las siguientes contraseñas:

• 007
• 123
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234567890
• 2000
• 2001
• 2002
• 2003
• 2004
• access
• accounting
• accounts
• adm
• administrador
• administrat
• administrateur
• administrator
• admins
• asd
• backup
• bill
• bitch
• blank
• bob
• brian
• changeme
• chris
• cisco
• compaq
• computer
• control
• data
• database
• databasepass
• databasepassword
• db1
• db1234
• db2
• dba
• dbpass
• dbpassword
• default
• dell
• demo
• domain
• domainpass
• domainpassword
• eric
• exchange
• fred
• fuck
• george
• god
• guest
• hell
• hello
• home
• homeuser
• ian
• ibm
• internet
• intranet
• jen
• joe
• john
• kate
• katie
• lan
• lee
• linux
• loginpass
• luke
• mail
• main
• mary
• mike
• neil
• nokia
• none
• null
• oem
• oeminstall
• oemuser
• office
• oracle
• orainstall
• outlook
• owner
• pass
• pass1234
• passwd
• password
• password1
• peter
• pwd
• qaz
• qwe
• qwerty
• sam
• server
• sex
• siemens
• slut
• sql
• sqlpassoainstall
• staff
• student
• sue
• susan
• teacher
• technical
• test
• unix
• web
• win2000
• win2k
• win98
• windows
• winnt
• winpass
• winxp
• www
• wwwadmin
• zxc 

Los puertos TCP usados para estas vulnerabilidades son el 135, 445 y el puerto UDP 1434. La información y parches para las mismas pueden ser descargados desde:

• http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
• http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
• http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx
• http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx
• http://www.microsoft.com/technet/security/bulletin/MS02-056.mspx
• http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx
• http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx
• http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0960

PER ANTIVIRUS® versión 9.1 con registro de virus al 1o de Marzo del 2005 detecta y elimina  eficientemente este gusano/backdoor.