Vanebot.AY

VANEBOT.AY gusano/backdoor del IRC explota vulnerabilidades del sistema ejecuta comandos remotos, etc.

W32/Vanebot.AY

Vanebot.AY es un gusano/backdoor residente en memoria reportado el 20 de Junio del 2007 que ingresa a Servidores, estaciones de trabajo y PC domésticas a través de canales del IRC (Internet Chat Relay).

Explota las vulnerabilidades LSASS descrita en el Boletín MS04-011, del RPC-DCOM, Boletín MS04-012, del del Plug and Play detallado en el Boletín MS05-039 y del Servicio de Servidor detallado en el Boletín MS06-040.

El gusano es ejecutado contínuamente en segundo plano, lo cual permitirá que intrusos accedan al sistema a través de diversos canales de Chat, pudiendo ejecutar comandos arbitrarios en forma remota.

Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003 ,desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado se copia a la carpeta %System% como spooIsv.exe, y para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Spooler SubSystem App" = "%System%\spooIsv.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano configura la siguiente llave para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

para deshabilitar el protocolo DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM" = "N"

para restringir el acceso a conexiones anónimas modifica la sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"

para inhabilitar la compatibilidad con el LSA crea la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"lmcompatibilitylevel = "1"

Intenta ingresar a los sistemas con las vulnerabilidades mencionadas.

Actuando como Backdoor abre un puerto aleatorio y se comunica con un servidor IRC (Internet Chat Relay) uniéndose a un canal de chat desde el cual recibirá intrucciones para ejecutar comandos en forma remota, tales como:

Descargar y subir archivos
Capturar teclas digitadas
Ejecutar comandos y archivos via FTP
Redireccionar puertos
Robar contraseñas de la memoria cache
Substaer información de la configuración del sistema

Los parches para las vulnerabilidades se pueden descargar desde:

PER ANTIVIRUS® versión 10.1 con registro de virus al 20 de Junio del 2007 detecta y elimina este gusano/backdoor.