W32/SpyBot.OD

SPYBOT.OD gusano/backdoor de Internet desestabiliza sistema deshabilita Firewall de Windows, MSN Messenger, etc.

W32/SpyBot.OD

SpyBot.OD es un gusano/backdoor reportado el 07 de Noviembre del 2007, que se propaga a través del diversos servicios de Internet.

El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conecta a través de cualquier puerto TCP que se encuentre abierto, a un servidor del IRC (Internet Chat Relay) con un BOT que ejecutará acciones arbitrarias en forma remota.

Desestabiliza la seguridad del sistema inhabilitando servicios, programas y funciones.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 79KB y comprimido con rutinas propias.

Una vez ingresado, el gusano se copia al directorio %System% como msnrav.exe y este archivo es registrado como un nuevo driver de servicio del sistema, con el nombre de "MSN RAV" con atributo de inicio automático y que muestra el mismo nombre en la sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSN RAV]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, para impedir la ejecución automática de otros programas, crea las sub-llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Messenger]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteRegistry]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr]
Start = 4

Para deshabilitar el Firewall de Windows crea las sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
EnableFirewall = 0

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
EnableFirewall = 0

Para inhabilitar las Actualizaciones de Windows XP Service Pack 2:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1

Para deshabilitar el DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N

La sub-llaves son generadas bajo la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]

Como Backdoor se conecta a través de un puerto TCP abierto a un servidor IRC (Internet Chat Relay) y une a un canal de Chat el cual contiene un BOT desde el que recibirá instrucciones pudiendo ejecutar acciones arbitrarias en forma remota, tales como:

Descargar y ejecutar archivos con códigos malignos
Iniciar o detener servicios
Capturar y enviar una información del sistema
Activar y ejecutar un servidor FTP
Revisar puertos con vulnerabilidades
Activar y ejecutar un servidor Proxy
Controlar los sistemas afectados, en forma remota

PER ANTIVIRUS® versión 10.3 con registro de virus al 07 de Noviembre del 2007 detecta y elimina este gusano/backdoor.