Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.WNT/Codbot.AL@LSASS

Alias:
W32/Codbot.AL.worm (Panda Software)

Descripción:
Codbot.AL es un gusano con capacidad de puerta trasera que se conecta a varios servidores IRC para recibir órdenes de control remoto que llevar a cabo en el ordenador afectado

Se propaga a través de Internet, intentando explotar las vulnerabilidades LSASS y RPC DCOM en ordenadores remotos con Windows 2003/XP/2000/NT. El gusano no se ejecuta correctamente en ordenadores con Windows Me/98/95.

Además, intenta explotar vulnerabilidades en ordenadores con SQL Server instalado, y también intenta conseguir acceso a ellos mediante nombres de usuario y contraseñas típicas o fáciles de adivinar.

Detalles:

Efectos

Este virus no funciona correctamente en ordenadores con Windows Me/98/95, y muestra un mensaje de error cuando es ejecutado en alguno de dichos ordenadores.

Permite controlar remotamente el ordenador afectado, ya que se conecta a diversos servidores IRC para recibir las siguientes órdenes:

  • Averiguar la versión del gusano.
  • Obtener la versión del sistema operativo y el modelo de microprocesador instalado en el ordenador afectado.
  • Obtener la dirección IP.
  • Descargar archivos a través de HTTP y ejecutarlos.
  • Cambiar el servidor IRC al que se conecta, o el canal IRC al que se une, o finalizar dicha conexión.
  • Calcular las estadísticas de intentos de explotación de vulnerabilidades que ha realizado.
  • Comprobar si el ordenador presenta vulnerabilidades conocidas.
  • Registrar pulsaciones de teclado, con intención de capturar las contraseñas tecleadas por el usuario.
  • Obtener las contraseñas almacenadas en el servicio Protected Storage, como contraseñas para Internet Explorer, Outlook Express y MSN Messenger.
  • Activar o desactivar los siguientes módulos: keylogger, servidor FTP o TFTP, escaneo de direcciones IP, módulo de explotación de vulnerabilidades y módulo de control del gusano.
  • Borrarse a sí mismo.

Además de registrar pulsaciones de teclado y el nombre de la ventana donde han sido introducidas, también realiza búsquedas de determinados patrones: bank, e-bay, ebay, login y paypal. De este modo, puede recoger tanto contraseñas para servicios de dichas compañías y otras contraseñas de servicios más genéricos.

Metodo de Infección

Codbot.AL crea los siguientes archivos:

  • NETDDECLNT.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
  • DEL.BAT generalmente en la subcarpeta LOCAL SETTINGS\ TEMP del directorio del usuario. Este archivo sirve para borrar el archivo correspondiente al gusano si recibe la orden apropiada.
Se registra como un servicio de Windows con las siguientes características:
  • Nombre: Network DDE Client
  • Descripción: Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers
Emplea dicho nombre y descripción para intentar ser confundido con un servicio legítimo de Windows.

Para registrarse, crea varias entradas en el Registro de Windows.

Además, el servicio se ejecutará automáticamente cada vez que Windows se inicie, y en caso de que fallara, se reiniciará por sí mismo.

Método de Propagación

Codbot.AL se propaga a través de Internet, atacando ordenadores remotos:

1.- Propagación a través de vulnerabilidades en Windows.

Para explotar las vulnerabilidades LSASS y RPC DCOM realiza el siguiente proceso:

  • Codbot.AL genera direcciones IP aleatorias e intenta acceder a las mismas.
  • Si lo consigue, comprueba si el ordenador remoto presenta alguna de las siguientes vulnerabilidades:
    • RPC DCOM: en ordenadores con Windows 2003/XP/2000/NT.
    • LSASS: en ordenadores con Windows XP/2000.
  • En caso afirmativo, envía instrucciones a través del puerto 135 (RPC DCOM) o 445 (LSASS), para que el ordenador descargue una copia del gusano mediante un servidor HTTP.
  • La copia de sí mismo descargada es ejecutada, con lo que el ordenador quedará afectado.

Cuando aprovecha la vulnerabilidad LSASS, Codbot.AL sólo afecta y se propaga de manera automática a ordenadores con Windows XP/2000 y que tengan el puerto 5000 abierto (por defecto, abierto en Windows XP y cerrado en Windows 2000). Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Codbot.AL convertiría dicho ordenador en un nuevo foco de propagación.

Sin embargo, cuando la vulnerabilidad empleada es RPC DCOM, Codbot.AL afecta a ordenadores con Windows 2003/XP/2000/NT.

2.- Propagación a ordenadores con SQL Server.

Además de explotar varias vulnerabilidades conocidas de SQL Server, también realiza el siguiente proceso:

  • Comprueba si el ordenador tiene instalado SQL Server.
  • En caso afirmativo, el gusano intenta conectarse a alguna de las cuentas de SQL Server, empleando para ello nombres de usuario y contraseñas típicas o fáciles de adivinar.
  • Entonces, Codbot.AL ejecuta un procedimiento almacenado llamado xp_cmdshell, que ejecuta un script que descarga el gusano al ordenador remoto a través de FTP.

Otros Detalles

Codbot.AL está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 47104 Bytes, y está comprimido mediante Pe-Crypt.AntiDeb.

Codbot.AL emplea técnicas antidepuración, y termina procesos pertenecientes a programas de emulación de PC, como por ejemplo VMWare, en un intento de dificultar el análisis de su código.

El gusano contiene la siguiente cadena de texto en su código, aunque no es mostrada en ningún momento:

dETOX/0x20 (win32)

Solución:

  1. Para evitar que un PC se infecte con este tipo de gusanos, es muy recomendable tener un cortafuegos en ejecución y mantener Windows siempre actualizado con todas las actualizaciones de seguridad. Pueden descargarse de Windows Update

  2. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  3. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el archivo.

  4. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  5. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro, junto con todo su contenido:

    HKLM\System\CurrentControlSet\Services\NETDDECLNT

  6. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados