VANEBOT troyano/backdoor de redes con recursos compartidos e IRC explota vulnerabilidades deshabilita servicios.  

© Jorge Machado  Lima-Perú

Troj/Vanebot

Vanebot es un destructivo troyano/backdoor reportado el 21 de Agosto del 2006 que ingresa a los servidores a través de redes con recursos compartido, configuradas con contraseñas débiles y por canales del IRC (Internet Chat Relay)

Explota las vulnerabilidades del Servicio de Servidor, Plug and Play y el ASN.1, detalladas en los Boletines de Microsoft MS06-040, MS05-039 y el MS04-007. 

Este troyano es ejecutado continuamente en segundo plano (background), lo cual permitirá que intrusos pueden acceder al sistema a través de diversos canales de Chat.

Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003 ,desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado muestra la siguiente falsa caja de diálogo:

Luego se copia a la carpeta %System% con el nombre de javanet.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica las llaves: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
MS Java for Windows XP & NTjavanet.exe 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
MS Java for Windows XP & NTjavanet.exe 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe javanet.exe"

El valor por defecto de esta última llave es "Explorer.exe" lo cual ocasiona que el Explorador de Windows sea ejecutado al Inicio.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo configura la siguiente llave para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

para deshabilitar el protocolo DCOM crea la sub-llave: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM" = "N"

para restringir el acceso a conexiones anónimas modifica la sub-llave: 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe,javanet.exe"

para inhabilitar la compatibilidad con el LSA crea la sub-llave: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"lmcompatibilitylevel = "1"

Finalmente crea su propia llave:

[HKEY_LOCAL_CURRENTE_USER\Software\Microsoft\Windows]
 JavaNet = rBot v2 a.k.a. the next generation

Intenta ingresar a los sistemas con las vulnerabilidades 

Los parches para las vulnerabilidad mencionadas se pueden descargar desde:

PER ANTIVIRUS® versión 9.8 con registro de virus al 21 de Agosto del 2006 detecta y elimina este troyano/backdoor. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS