Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.WNT/RPCSdbot@RPC

Alias:
WORM_RPCSDBOT.A (Trend Micro), W32/Spybot.worm.lz (McAfee), W32/RpcSpybot-A (Sophos), W32/RPCSdbot (Panda Software), W32.Randex.E (Symantec), WIN32/IRC.SDBOT.AV (Enciclopedia Virus (Ontinent))

Descripción:
Nuevo gusano que explota la vulnerabilidad de desbordamiento de búfer DCOM RPC, que afecta a sistemas Windows basados en NT (NT/2000/XP/2003).

Intenta conectarse al puerto TCP/135 con direcciones aleatorias, buscando máquinas vulnerables.

Está basado en Sdbot, y como tal incorpora un componente de control remoto, o puerta trasera, que permite a un hacker realizar operaciones no autorizadas en el sistema infectado.

Detalles:

Instalación

Cuando se ejecuta, el gusano deposita los ficheros winlogin.exe, una copia del gusano y yuetyutr.dll, componente usado para propagarse, en la carpeta de sistema de Windows. Éste se inyecta en el proceso EXPLORER.EXE para conseguir residencia en memoria.

Las siguientes entradas de autoejecución son creadas: 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
NdplDeamon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
winlogon = "winlogin.exe"
y esta entrada en sistemas basados en NT: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
Shell = "explorer.exe winlogin.exe"
En sistemas Windows 95/98/Me crea la siguiente entrada en el fichero SYSTEM.INI 
[boot]
shell = explorer.exe winlogin.exe


Explotación

Para propagarse, este gusano explota el Desbordamiento de búfer en el RPC (Remote Procedure Call) de DCOM (Distributed Object Model), descrita en el Boletín de Seguridad de Microsoft MS03-26, de Junio de 2003. Esta vulnerabilidad permite a un atacante remoto, con accesso a los puertos de RPC (135, 139, 445) ganar acceso completo y ejecutar cualquier código en una máquina objetivo.


Infección por la red.

Para infectar máquinas vulnerables en la misma red, este gusano abre el puerto 4444, que es usado por su shell (intérprete de comandos) remota, y crea un subproceso que implementa un servidor TFTP.

Hace que la máquina vulnerable, mediante la shell remota, descargue una copia del gusano (winlogin.exe).

Finalmente, da instrucciones a la máquina objetivo para ejecutar el fichero recientemente descargado, y vuelve a comenzar el ciclo del gusano en la máquina recien infectada.


Otros detalles

Este gusano usa una variante de Sdbot, un bot de IRC configurable. Es una puerta trasera que se conecta a un canal y servidor específicos de IRC, y procesa comandos enviados como mensajes IRC.

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados