Worm.W32/Kelar.B@RPC
Alias:
Kelar.B (Panda Software), WORM_RALEKA.B (Trend Micro)
Descripción:
Kelar.B es un gusano que sólo afecta a ordenadores con sistemas
operativos Windows XP/2000. Kelar.B aprovecha la vulnerabilidad
conocida como Desbordamiento de búffer en interfaz RPC de DCOM para
propagarse al mayor número de ordenadores posible.
Kelar.B instala en el ordenador afectado la herramienta de hacking
NTRootKit, que permite ganar privilegios de administrador en la máquina
atacada para realizar, entre otras, las siguientes acciones: ocultar
procesos, capturar pulsaciones del teclado, ejecutar ficheros y
bloquear el ordenador. Posteriormente, se conecta a diversos
servidores de IRC para enviar al creador del gusano información
sobre la máquina atacada.
Kelar.B se propaga atacando direcciones IP a las que ha conseguido
acceso por el puerto TCP 135, y en las que ha conseguido comprobar
la existencia de la vulnerabilidad arriba mencionada.
Detalles:
Efectos
Instala la herramienta de hacking NTRootKit. Esta
herramienta permite ganar privilegios de administrador en la máquina
atacada para realizar, entre otras, las siguientes acciones: ocultar
procesos, capturar pulsaciones del teclado, ejecutar ficheros y
bloquear el ordenador.
Se conecta a servidores IRC con el objetivo de mandar información
de la máquina atacada al creador del gusano.
Provoca un aumento del tráfico de red por el puerto TCP 135.
Es capaz de descargar desde la página web de Microsoft el parche
para la vulnerabilidad Desbordamiento
de búffer en interfaz RPC (que es la que aprovecha para
propagarse).
Metodo de Infección
Kelar.B crea los siguientes ficheros:
- SCVHOST.INI en el directorio de
sistema de Windows. Este fichero contiene la lista de
direcciones IP que presentan la vulnerabilidad Desbordamiento de
búffer en interfaz RPC.
- SVCHOST2.EXE: este fichero es
una actualización del gusano. Utiliza la redirección a una
determinada página web para descargar una versión modificada
del gusano.
- NTROOTKIT.EXE: este fichero es
una herramienta de hacking.
- NTROOTKIT.REG: este fichero
permite registrar la herramienta de hacking NTRootKit.
Estos tres ficheros son descargados desde Internet por el gusano.
Kelar.B modifica el fichero SVCHOST.EXE, que se encuentra en el
directorio de sistema de Windows. Sobreescribe el contenido del
mismo, y lo reemplaza por una copia del gusano.
Método de Propagación
Kelar.B realiza el siguiente proceso:
Se propaga atacando direcciones IP a las que ha conseguido acceso
a través del puerto TCP 135, y en las que ha conseguido comprobar
la existencia de la vulnerabilidad conocida como Desbordamiento de búffer
en interfaz RPC.
Una vez ha conseguido acceso a un ordenador remoto, Kelar.B
descarga en el mismo la herramienta de hacking NTRootKit.
Kelar.B se conecta a un servidor IRC a través del puerto 6667,
con el objetivo de enviar información de la máquina atacada al
creador del gusano. El servidor IRC al que se conecta es uno de los
siguientes:
- irc.servercentral.net
- irc.secsup.org
- irc.nac.net
- irc.mpls.ca
- irc.mindspring.com
- irc.limelight.us
- irc.isprime.com
- irc.isdnet.fr
- irc.ipv6.homelien.no
- irc.inter.net.il
- irc.inet.tele.dk
- irc.homelien.no
- irc.prison.net
- irc.desync.com
- irc.daxnet.no
- irc.csbnet.se
- irc.aol.com
- irc.blessed.net
- irc.banetele.no
- irc.red-latina.org
- linux.us.amiganet.org
- irc.chung.li
- Entra en el canal #atolondraO y
permite que otros usuarios conectados a dicho canal puedan
comunicarse con él, actuando a modo de puerta trasera.
Otros Detalles
Ha sido programado en el lenguaje de programación Visual C++, en
su versión 6.0.
El fichero que transporta el gusano tiene un tamaño de 14880
Bytes cuando se encuentra comprimido mediante UPX. El fichero
descomprimido tiene un tamaño de 41504 Bytes.
Solución:
- Uso de antivirus actualizado.
Más información acerca de este virus en:
Fuente: red.es |
