Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Acebot

Alias:
WORM_ACEBOT.A (Trend Micro), Win32:Acebo-B (Trend Micro), Worm/AceBot (Trend Micro), Worm/Newbiero (Trend Micro), I-Worm.Win32.Acebot.172032 (Kaspersky (viruslist.com)), W32.HLLW.Acebo (Trend Micro), W32/AceBot.worm (Trend Micro), Win32/NewBiero.0_34.worm (Trend Micro), Worm.Newbiero.034 (Trend Micro), Win32.Acebot.041 (Trend Micro)

Descripción:
Gusano residente en memoria, que se propaga por discos compartidos en máquinas conectadas a la misma red y que posee capacidades de backdoor (puerta trasera), actuando como servidor para que un atacante acceda a través de él y realice toda clase de acciones que compremeten la seguridad de los usuarios y el rendimiento y tráfico de la red.


Detalles:

Rutina de Infección

Se propaga por cualquier unidad de la Red Local que esté compartida en alguna de las máquinas accesibles desde la máquina infectada.

Tratará de ejecutarse con el parámetro /delete que borra el fichero del disco una vez que el programa ha sido cargado en memoria.

Cuando es ejecutado por primera vez, se copia a sí mismo en el directorio de Sistema de Windows con un nombre aleatório y con extension .EXE, después verifica que el fichero MSSZ.INI no exista para proceder a su creación. Este fichero es creado con 0 Bytes de tamaño y únicamente es utilizado como marca de infección. El gusano no vuelve a infectar aquellas máquinas que contienen este fichero.

La copia del gusano activa, intenta lanzar la ejecución del fichero descargado con nombre aleatório y finalizar la ejecución del activo. Con ello, se dificulta la identificación del gusano que continuará desarrollando su carga vírica.

Técnica de AutoArranque

Para iniciarse cada vez que se inicia Windows, el gusano modifica el valor de la siguiente clave de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Diagnostic = %System%\.exe

A continuación procede a lanzar la ejecución de ese nombre de fichero al que añade de nuevo el parámetro /delete que finaliza la ejecución del primer proceso, borra el fichero actual y lanza otro proceso que queda a la espera de conexión con cierto servidor IRC.

Propagación por la Red

Para infectar otras máquinas accesibles desde la máquina infectada, realizará un escaneo de direcciones IP buscando recursos compartidos a los que asignará (mapeará) la letra W: como nueva unidad, donde se copiará a sí mismo con el nombre MSSG.EXE en la carpeta \Windows\Start Menu\Programs\StartUp.

Rutina de Captura de Información

El gusano verifica la existencia del fichero LOGGING.INI en el directorio raíz del disco C:. Si ya existe, continuará con sus actividades malévolas, pero primero creará la carpeta C:\LOGS\. donde tambíen creará los siguientes ficheros:

  • FETCHREPORT.LOG
  • CHECK.LOG
  • JOIN.LOG
  • MISC.LOG
  • SCAN.LOG
  • RECIVED.LOG
  • IPREPORT.LOG
  • IPS.LOG
  • SERVMSG.LOG

Estos ficheros contienen los detalles de las distintas actividades realizadas por el gusano durante la sesión activa en la máquina infectada y serán enviados a un usuario remoto a través de un servidor IRC, para posteriormente ser eliminados.

Capacidades como Puerta Trasera(backdoor)

El gusano intenta conectarse al servidor IRC (irc.dalnet.com) para unirse a un canal determinado y transmitir la información capturada en la máquina infectada. A continuación habilita un puerto elegido aleatóriamente a través del cual permanecerá a la espera de la recepción de comandos del atacante remoto.

Entre las distintas opciones del atacante se encontrarían las siguientes:

  • Lanzamiento de ataques distribuidos de denegación de servicio (DDoS) a través de puertos UDP (User Datagram Protocol) e IGMP (Internet Group Management Protocol).
  • Descarga y ejecución remota de ficheros
  • Reinicio, fin de sesión y apagado de la máquina
  • Actualización del programa servidor
  • Finalización de la ejecución del programa servidor
  • Captura de datos como (ISP, username, password, phone, Windows Path) y otros.
  • Capturar los números de las versiones de ciertas aplicaciones.
  • Habilitar la compartición del disco C:.
  • Alamacenar en ficheros las actividades del gusano para luego enviarlos vía IRC.

Rutina de Actualización

EL gusano también abre puertos UDP para conectarse a http://angelfire.com/film/joseff/, con objeto de verificar la existencia de nuevas versiones del gusano y descargarlas sobre la máquina infectada. Actualmente el sitio de descarga está deshabilitado.

Finalización de procesos Firewall.

También posee capacidades para detener la ejecución de los siguientes programas cortafuegos(FireWall):

  • Sygate Personal Firewall
  • Tiny Personal Firewall
  • ZoneAlarm Pro
  • ZoneAlarm

Robo de dados de cuentas de usuario.

Será capaz de capturar los datos de usuario de las conexiones RAS (Remote Access Services) en sistemas Windows NT para almacenarlos en alguno de los ficheros creados en la carpeta C:\LOGS\ y enviarlos al usuario remoto vía IRC.

Otros detalles

El gusano está escrito en lenguaje de programación Visual C++, y entre su código puede encontrarse la siguiente cadena de texto:

“Acebot”

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados