Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.W32/IRC_RPCBot.C@RPC

Alias:
Backdoor.IRC.RPCBot.C (McAfee)

Descripción:
Es un troyano de tipo puerta trasera, que da al creador control completo del ordenador infectado. El creador puede instruir al gusano para que se difunda usando la vulnerabilidad del Interfaz RPC DCOM para difundirse.

Detalles:
IRC_RPCBot.C es una colección de ficheros batch, scripts, utiladades y herramientas de hacking, algunos de los cuales son legítimos y no serán detectados por el antivirus Es posible que los nombres y funciones de los ficheros mencionados a continuación pueda cambiar:

  • Explorer.exe (638,976 bytes): Un cliente mIRC32 empaquetado. No es vírico.
  • Mirc.ini (2,684 bytes): Un script de inicialización de mIRC. No es vírico
  • Remote.ini (80 bytes): Un scritp mIRC malicioso.
  • Aliases.ini (11 bytes): Un script mIRC. No es vírico.
  • Dcom.exe (10,784 bytes): Un ejecutable que el troyano usa para explotar la vulnerabildad RPC
  • DCOM.Dcom.mrc (2,802 bytes): Un script malicioso.
  • Hidden32.exe (29,696 bytes): Una utilidad usada para esconder ventanas. No es vírico.
  • Macros.txt (324 bytes): Un guión pasado a Dcom.exe. No es vírico.
  • Servers.ini (50 bytes): Una lista de servidores IRC. No es vírico.
  • Winhp32.exe (22,016 bytes): Una utilidad usada para esconder ventanas. No es vírico.
Cuando IRC_RPCBot.C es ejecutado, hace lo siguiente:
  1. Crea la carpeta "C:\Program Files\Common Files\Microsoft Shared\CDO" y copia los ficheros anteriormente mencionados en ella.
  2. Se conecta a un cierto canal IRC en un cierto servidor IRC para recibir instrucciones de su creador. Uno de estos comandos es explotar la vulnerabilidad DCOM RPC (descrita en el Boletín de seguridad de Microsoft MS03-26, intentando conectarse a direcciones IP generadas de forma aleatoria.

    Si consigue explotar la vulnerabilidad, el troyano se conecta a un servidor FTP para descargar y ejecutar los ficheros:

    • Sdbot0b.exe (24,608 bytes): Detactado como el gusano Moega.
    • Down.com: Una utilidad que desactiva DCOM.
    Después de la ejecución, ambos ficheros son borrados.

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados