|
W32/Unubot.B
Unubot.B es un gusano/backdoor residente en memoria reportado el 19 de Noviembre del 2007, que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles.El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conecta a un servidor del IRC (Internet Chat Relay) y unue a un canal que tiene un BOT que ejecutará acciones arbitrarias en forma automática y remota.
Desestabiliza la seguridad del sistema inhabilitando servicios.
Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 64KB y comprimido con el utilitario ASProtect.
Una vez ingresado, el gusano se copia al directorio %System% como mdm.exe con atributos de "sistema" y "oculto".
para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Office" = "%System%\mdm.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Office" = "%System%\mdm.exe
%System% es la
variable C:\Windows\System para Windows
95/98/Me, C:\Winnt\System32 para Windows
NT/2000 y C:\Windows\System32 para Windows
XP y Windows Server 2003.
Al siguiente para desestabilizar la seguridad del sistema y el Firewall de Windows, agrega valores a las siguientes sub-llaves:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
restrictanonymous = 1
Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones en forma remota:
PER ANTIVIRUS® versión 10.3 con registro de virus al 19 de Noviembre del 2007 detecta y elimina este gusano/backdoor.
