Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Troj/Cirebot, Dowloader-DM, RPC Worm

Cirebot es un peligroso y complejo y destructivo troyano/backdoor reportado el 03 de Agosto del 2003, que aprovechando la vulnerabilidad del DCOM RPC (Llamada Remota de Procedimientos), infecta los sistemas con el archivo worm.exe (dropper) de 111 KB de extensión,  a través del puerto 57005 y envía instrucciones vía el IRC (Internet Chat Relay) y el ICQ.

Una vez ingresado a un sistema, el hacker poseedor del software Cliente tomará el control remoto del sistema infectado, robando información y ejecutando una variedad de acciones y estragos.  

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003   

Cuando el troyano worm.exe se auto-ejecuta libera y copia al directorio raíz los siguientes componentes:  

  • C:\rpc.exe (40 KB es el comando ejecutor del troyano)
  • C:\rpctest.exe (92 KB, el archivo que explota la vulnerabilidad RCP)
  • C:\tftpd.exe (140 KB, el servidor FTP que se conecta por el puerto TCP 69)

El rpc.exe ejecuta el archivo tftpd.exe, que es un servidor FTP el cual descarga el software backdoor e intenta establecer una conexión con un combinación de direcciones IP aleatorias a través del puerto 445 (microsoft-ds) bajo tres modalidades de rangos: 

1. Empezando con uno de los siguientes: 4, 12, 24, 64, 65, 68, 128,165, 208,
    211, 213,217,218, 220.

2. Seguido de un número aleatorio de 0 al 255.

3. Cualquier número aleatorio.  

Por ejemplo si es elegido el número 4, en primera instancia y luego el 62, el troyano tratará de conectarse a las siguientes direcciones IP:

4.62.0.1
4.62.0.2
4.62.0.3
4.62.0.4
4.62.0.3
4.62.0.254
4.62.0.255
4.62.1.1    
4.62.1.2  
Etc...

Si logra conectarse, el troyano ejecuta el archivo rpctest.exe para abrir un comando de ejecución remota del sistema con instrucciones para descargar el backdoor lolx.exe o dcomx.exe de 26 KB, usando el servidor FTP tftpd.exe. 

El backdoor ha sido generado por el SDBOT, creado por el hacker [sd]. 

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente tomará el control de los mismos. 

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/security/security_bulletins/ms03-026.asp

Los payloads de este troyano/backdoor son los siguientes:

  • Aprovecha la vulnerabilidad RPC de MS.
  • Envía la información al hacker a través del ICQ
  • También puede enviar comandos a través del Chat.
  • Captura información de la configuración del servidor y de las estaciones de trabajo.
  • Captura teclas digitadas por el usuario.
  • Roba claves de acceso y números de tarjetas de crédito.
  • Descarga y ejecuta otros archivos. 
  • Termina procesos en ejecución.
  • Puede bloquear el sistema borrando los recursos compartidos en una red local.
  • Controla remotamente los archivos y programas de los sistemas infectados.
  • Ataca otros sistemas usando varias vulnerabilidades.
  • Borra archivos y formatea el disco duro.

Fuente: PER
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados