W32/Spybot.LZI, Backdoor.Spybot.LZI

Spybot.LZI es un destructivo gusano/backdoor reportado el 07 de Abril del 2005, que se propaga en Redes con recursos compartidos configuradas con contraseñas débiles con un archivo de nombre msnmsgs.exe que actuando como "dropper" libera otros archivos en diversas rutas. Explota la vulnerabilidad DCOM RPC de los sistemas de Microsoft, a través de los puertos TCP 135, 445 y 1025.

Abre un Backdoor en el puerto TCP 113 y se conecta a un servidor IRC desde donde podrá ejecutar acciones destructivas y controlar remotamente los sistemas infectados. 

Borra los recursos compartidos de las redes infectadas y modifica el archivo HOSTS para impedir el acceso a diversos sitios web relacionados a software de seguridad.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++ con una extensión de 83.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Ingresado al sistema crea el mutex "RXBOT-UNIVERSAL" para evitar infectar el sistema más de una vez.

luego se copia a las siguientes rutas con los nombres de archivo, con atributos de "oculto", "solo lectura" y "sistema":

• %System%\msnmsgs.exe
• C:\funny pic.scr
• C:\photo album.scr
• C:\eminem vs 2pac.scr

también se auto-copia al directorio raíz de C:\ como hellmsn.exe y para ejecutarse la próxima que se re-inicie el sistema agrega el siguiente valor:

"MSN MESSENGER" = "%System%\msnmsgs.exe"

a las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

para deshabilitar el DCOM modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\OLE]
"EnableDCOM" = "N" 

para modificar el acceso a los recursos compartidos de red modifica la llave:

[HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa]
"restrictanonymous" = "1" 

Al siguiente re-inicio del sistema, el gusano termina los procesos de una extensa relación de software antivirus, firewalls y sistemas de control. Luego borra los recursos compartidos de las red infectada.

posteriormente modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones:

• 127.0.0.1 www.symantec.com
• 127.0.0.1 securityresponse.symantec.com
• 127.0.0.1 symantec.com
• 127.0.0.1 www.sophos.com
• 127.0.0.1 sophos.com
• 127.0.0.1 www.mcafee.com
• 127.0.0.1 mcafee.com
• 127.0.0.1 liveupdate.symantecliveupdate.com
• 127.0.0.1 www.viruslist.com
• 127.0.0.1 viruslist.com
• 127.0.0.1 f-secure.com
• 127.0.0.1 www.f-secure.com
• 127.0.0.1 kaspersky.com
• 127.0.0.1 www.avp.com
• 127.0.0.1 www.kaspersky.com
• 127.0.0.1 avp.com
• 127.0.0.1 www.networkassociates.com
• 127.0.0.1 networkassociates.com
• 127.0.0.1 www.ca.com
• 127.0.0.1 ca.com
• 127.0.0.1 mast.mcafee.com
• 127.0.0.1 my-etrust.com
• 127.0.0.1 www.my-etrust.com
• 127.0.0.1 download.mcafee.com
• 127.0.0.1 dispatch.mcafee.com
• 127.0.0.1 secure.nai.com
• 127.0.0.1 nai.com
• 127.0.0.1 www.nai.com
• 127.0.0.1 update.symantec.com
• 127.0.0.1 updates.symantec.com
• 127.0.0.1 us.mcafee.com
• 127.0.0.1 liveupdate.symantec.com
• 127.0.0.1 customer.symantec.com
• 127.0.0.1 rads.mcafee.com
• 127.0.0.1 trendmicro.com
• 127.0.0.1 www.microsoft.com
• 127.0.0.1 www.trendmicro.com

abre un Backdoor en el puerto TCP 113 y se conecta al servidor IRC pwans.dc21business.com o al dominio 888.dc21business.com, permitiendo al intruso ejecutar en forma remota las siguientes acciones:

• Descargar y ejecutar archivos.
• Capturar teclas digitadas.
• Listar y terminar procesos en ejecución.
• Enviar mensajes de correo usando su propio motor SMTP.
• Activar un servidor local HTTP o TFTP.
• Capturar teclas digitadas.
• Rastrear puertos para ingresar a servidores con determinadas vulnerabilidades.
• Activar un Proxy con un SOCKS4.
• Habilitar o deshabilitar el DCOM.
• Redireccionar paquetes de data.
• Enviar paquetes ICMP.
• Ejecutar ataques de negación de servicio DoS vía ACK, SYN, UDP y ICMP.

Intenta propagarse explotando la vulnerabilidad DCOM RPC haciendo uso de los puertos TCP 135, 445 y 1025.

La información y parche para esta vulnerabilidad puede ser descargada desde:

• http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

PER ANTIVIRUS® versión 9.2 con registro de virus al 07 de Abril del 2005 detecta y elimina eficientemente este gusano/backdoor.