Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.W32/Donk.B@RPC

Alias:
W32.HLLW.Donk.B (Symantec)

Descripción:
Es un gusano que se propaga por redes y que intenta conectarse a un servidor IRC predeterminado para recibir órdenes de su autor.

Está escrito en con Microsoft Visual C++ y cifrado con PE-Shield y WinKript.

Detalles:

Cuando Donk.B es ejecutado, realiza las siguientes acciones:
  1. Se copia como:
    • %System%\Cool.exe
    • %System%\Wsock32.exe
  2. Añade las siguientes entradas al registro para engancharse al inicio de Windows:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "Microsoft System Checkup"="%System%\Cool.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices
    "Microsoft System Checkup"="%System%\Cool.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "NT Logging Service"= Syslog32.exe

  3. Explota la vulnerabilidad de RPC DCOM enviando datos al puerto TCP 135.
  4. Sondea los recursos compartidos de adminstración usando combinaciones de los siguientes nombre de usuario y contraseñas:

    Usuario
    • Administrator
    • Guest
    • admin
    • Root

    Contraseña
    • admin123
    • login
    • xxx
    • home
    • secret
    • win
    • temp
    • test
    • abc
    • aaa
    • root
    • administrator
    • computer
    • server
    • database
    • 123
    • Admin
    • qwerty
    • password
    • goodman
    • garcia
    • andy
    • cipriani
    • red
    • blue
    • dick
    • xavier
    • kitty
    • scott
    • colin
    • gabriel
    • cruise
    • tom
    • steven
    • pit
    • antonio
    • willson
    • max
    • provolone
    • joe
    • machintosh
    • jack
    • jackie
    • eddy
    • petrovic
    • smith
    • john
    • mikae
    • chris
    • william
    • will
    • fred
    • louie
    • anderson
    • christian
    • leonte
    • aloha
    • mario
    • andrech
    • niteman
    • akim
    • wintzy
    • ortega
    • jesus
    • koniec
    • locke
    • sebah
    • mitza
    • mike
  5. Si consigue conectarse, el gusano se copia en las siguientes carpetas y se ejecuta:
    • Winnt\Profiles\All Users\Start Menu\Programs\Startup
    • Windows\Start Menu\Programs\Startup
    • Documents and Settings\All Users\Start Menu\Programs\Startup
  6. Descarga ficheros de una URL incluida en el código a %Temp%, y las ejecuta. Los posibles nombres incluyen:
    • Navist.exe
    • Upd32b.exe
    • Upd32a.exe
  7. Se conecta a un servidor IRC y a un canal específico para aceptar instrucciones del autor del gusano, entre las que se incluyen:
    • Inundar (de peticiones) una máquina específica
    • Descarga un fichero.
    • Ejecutar un fichero.

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados