W32/Whybo.Z

WHYBO.Z gusano/backdoor ejecuta ataques DoS borra archivos EXE de unidades de disco, controla remotamente, etc.

W32/Whybo.Z

Whybo.Z es un gusano/backdoor, residente en memoria reportado el 28 de Agosto del 2007, que se propaga a través de diversos servicios de Internet.

Descarga un archivo conteniendo una lista de servidores web a los cuales ejecutará ataques de Denegación de Servicios (DoS) y borrará todos los archivos con extensión .EXE de todas las unidades lógicas desde la C:\ a la Z:\

Se conecta a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado desde el cual ejecuta acciones arbitrarias en forma remota.

Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con una extensiónde 87 KB y encriptado con rutinas propias.

Una vez ingresado al sistema el gusano se copia a las siguientes rutas:

%System%\serivces.exe
%SystemDrive%\Program Files\Common Files\Microsoft Shared\[5_letras_minúsculas_aleatorias].exe
%SystemDrive%\Program Files\Internet Explorer\Connection Wizard\[5_letras_minúsculas_aleatorias].exe
%SystemDrive%\Program Files\Windows Media Player\[5_letras_minúsculas_aleatorias].exe
%SystemDrive%\WINDOWS\addins\[5_letras_minúsculas_aleatorias].exe
%SystemDrive%\WINDOWS\system\[5_letras_minúsculas_aleatorias].exe
%SystemDrive%\WINDOWS\system32\[5_letras_minúsculas_aleatorias].exe
%SystemDrive%\WINDOWS\system32\drivers\[5_letras_minúsculas_aleatorias].exe
%SystemDrive%\WINDOWS\system32\dllcache\[5_letras_minúsculas_aleatorias].exe
%SystemDrive%\WINDOWS\system32\IME\[5_letras_minúsculas_aleatorias].exe

Para ejecutarse la próxima vez que se re-inicie el sistema el gusano crea el siguiente servicio:

Nombre de Servicio: Services management
Ruta de imagen: %System%\serivces.exe

Para garantizar su activación copia a todas las unidades lógicas los siguientes archivos con atributos de oculto y sistema:

%Unidad_de_disco%:\AutoRun.inf

%Unidad_de_disco%:\setup.exe

Para evitar ejecutarse más de una vez crea el Mutex "HackerooDDos", además del archivo temporal:

%System%\update.bak

Luego verifica la existencia de la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]

y crea 2 ventanas ocultas con las siguientes características:

Window name: DDos
Class name: Service

Al siguiente inicio del equipo el gusano se conecta a un sitio web determinado, desde el cual descarga una lista de servidores a los cuales ejecutará ataques de Denegación de Servicios (DoS).

Además infectará todos los archivos con extensión .EXE de las unidades de disco de la C:\ a la Z:\, evitando a aquellos que tengan las siguientes cadenas de texto:

ComPlus Applications;Messenger
Documents and Settings
Internet Explorer
Messenger
Microsoft Frontpage
Movie Maker
NetMeeting
Outlook Express
Recycled
System Volume Information
Windows Media Player
Windows NT
WINDOWS
WindowsUpdate
WINNT

A través de un puerto TCP que se encuentre abierto libera un Backdoor, se conecta a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado desde el cual ejecutará diversas acciones en forma remota, entre otras:

Descargar y ejecutar archivos con códigos malignos
Controlar los servicios y procesos
Iniciar o detener servicios y procesos
Capturar y enviar información del sistema
Capturar teclas digitadas.
Capturar contraseñas
Ejecutar ataques de denegación de servicio (DoS)

PER ANTIVIRUS® versión 10.2 con registro de virus al 28 de Agosto del 2007 detecta y elimina este gusano/backdoor.