Vanebot.G

VANEBOT.G troyano redes con recursos compartidos IRC explota vulnerabilidades deshabilita antivirus servicios, etc.

Troj/Vanebot.G

Vanebot.G es un destructivo troyano reportado el 29 de Agosto del 2006 que ingresa a los servidores a través de redes con recursos compartidos configuradas con contraseñas débiles y por canales del IRC (Internet Chat Relay)

Deshabilita una extensa relación de antivirus, firewalls y software de control, permite la descarga de archivos infectados desde diversos sitios web y desestabiliza el sistema.

Explota las vulnerabilidades del Servicio de Servidor, Plug and Play y el ASN.1, detalladas en los Boletines de Microsoft MS06-040, MS05-039 y el MS04-007.

El troyano es ejecutado continuamente en segundo plano, lo cual permitirá que intrusos accedan al sistema a través de diversos canales de Chat.

Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003 ,desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado muestra la siguiente falsa caja de diálogo:

Luego se copia a la carpeta %System% con el nombre de winservnt32.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica las llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
Ms Update WinServices NT/XP winservnt32.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
Ms Update WinServices NT/XP winservnt32.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe winservnt32.exe"

El valor por defecto de esta última llave es "Explorer.exe" debido a ello el Explorador de Windows es ejecutado al Inicio del sistema.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el troyano configura la siguiente llave para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

para deshabilitar el protocolo DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM" = "N"

para restringir el acceso a conexiones anónimas modifica la sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe,winservnt32.exe"

para inhabilitar la compatibilidad con el LSA crea la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"lmcompatibilitylevel = "1"

Finalmente crea su propia llave:

[HKEY_LOCAL_CURRENT_USER\Software\Microsoft\Windows]
WinServ = rBot v2 a.k.a. the next generation

Intenta ingresar a los sistemas con las vulnerabilidades mencionadas.

Los parches para las vulnerabilidad mencionadas se pueden descargar desde:

PER ANTIVIRUS® versión 9.8 con registro de virus al 29 de Agosto del 2006 detecta y elimina este troyano/backdoor.