|
Vanbot.GC es un gusano/backdoor reportado el 18 de Abril del 2007 que se propaga visitando determinados sitios en la web que explotan la vulnerabilidad del Microsoft Windows Domain Name Server Service Remote Procedure Call Interface (RPC en el Servidor de Nombres de Dominio): Exploit.136
Infecta redes con recursos compartidos configuradas con contraseñas débiles.
Sistemas operativos afectados: Windows 95/98/NT/2000/XP y Server 2003
Al activarse se copia a la carpeta %System% como mdnex.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft DNSx" = "%System%\mdnex.exe"
Al siguiente inicio del equipo, el gusano
rastrea en forma aleatoria direcciones IP de redes con recursos compartidos,
configuradas con contaseñas débiles, intentado ingresar y liberar una copia de
sí mismo en la carpeta oculta IPC$ de las mismas.
El gusano explota la
la vulnerabilidad del Microsoft Windows Domain Name Server Service Remote Procedure Call Interface
(RPC en el Servidor de Nombres de Dominio).
Actuando como Backdoor abre un puerto aleatorio y se comunica con un
servidor IRC (Internet
Chat Relay) uniéndose a un canal de chat desde el cual recibirá
intrucciones para ejecutar comandos en forma remota, tales como:
Finalmente se conecta a un sitio en la web para descargar y ejecutar un archivo infectado.
El Servicio de Llamada Remota de Procedimientos (RPC) es la tecnología que
permite a los programas ejecutar sub-rutinas o procedimienos en
otras computadoras, por lo general en una red de recursos compartidos, sin que necesidad de programar
detalles de estas acciones remotas.
PER ANTIVIRUS®
versiones
10.0 y 10.1 con registro de virus al 18 de Abril del 2007 detectan y eliminan este
gusano/backdoor.
