Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Rbot.SX-Z

Alias:
WORM_RBOT.SX (Trend Micro), WORM_RBOT.SY (Trend Micro), WORM_RBOT.SZ (Trend Micro)

Descripción:
Versiones: SX, SY y SZ
Gusanos residentes en memoria que se propagan a través de recursos compartidos en red probando el acceso sobre las máquina remotas con una larga lista de nombres de usuario y claves de acceso que ellos mismos transportan.

Utilizan los agujeros de seguridad abiertos por las siguientes vulnerabilidades de Windows:

  • Buffer Overflow in Universal Plug and Play

  • Buffer Overflow in SQL Server 2000

  • Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability

  • WebDAV vulnerability

  • LSASS vulnerability

Además, utilizan las técnicas de puerta trasera de otros virus para descargar copias de sÍ mismo:

  • BKDR_KUANG

  • BKDR_NETDEVIL

  • BKDR_OPTIX

  • BKDR_SUB7

  • WORM_BAGLE

  • WORM_MYDOOM

También poseen capacidades de puerta trasera (backdoor) que utilizarán para conectar con canales IRC predeterminados desde donde operar remotamente sobre la  máquina infectada.

Además intentarán capturar las claves de instalación de conocidos juegos.

Detalles:
Instalación

Descargan una copia de si mismo con el nombre MG-UPDATE.EXE.(SX), WUAMGRD.EXE o WAUMGRD.EXE(SY), y RUNDLL.EXE(SZ) en la carpeta del sistema de Windows

Añaden las siguientes entradas en el registro para facilitarse su propia ejecución junto al arranque de Windows:

Según versiones:

  • Versión SX:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run
    Microsoft Update = "MG-UPDATE.EXE"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices
    Microsoft Update = "MG-UPDATE.EXE"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run
    Microsoft Update = "MG-UPDATE.EXE"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
    EnableDCOM= "N"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    restrictanonymous= "dword:00000001"

  • Versión SY:

    Si se descarga WUAMGRD.EXE:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run
    Microsoft Update = "WUAMGRD.EXE"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices
    Microsoft Update = "WUAMGRD.EXE"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run
    Microsoft Update = "WUAMGRD.EXE"

    Si se descarga WAUMGRD.EXE:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run
    Microsoft Update = "WAUMGRD.EXE"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices
    Microsoft Update = "WAUMGRD.EXE"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run
    Microsoft Update = "WAUMGRD.EXE"

  • Versión SZ:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run
    Win32 USB Driver = "RUNDLL.EXE"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunOnce
    Win32 USB Driver = "RUNDLL.EXE"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices
    Win32 USB Driver = "RUNDLL.EXE"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run
    Win32 USB Driver = "RUNDLL.EXE"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\RunOnce
    Win32 USB Driver = "RUNDLL.EXE"

    Que también se registrará como servicio con el nombre EatShit

 

Propagación en Red

Generan direcciones IP sobre las que intentarán acceder para descargarse y ejecutarse en los recursos compartidos de esas máquinas:

  • ADMIN$\System32
  • C$\Windows\System32
  • C$\WINNT\System32

Para el acceso, intentarán combinaciones de Usuario/clave de la siguiente lista:

  • access
  • accounting
  • accounts
  • adm
  • administrador
  • administrat
  • administrateur
  • administrator
  • admins
  • asd
  • backup
  • bill
  • bitch
  • blank
  • bob
  • brian
  • changeme
  • chris
  • cisco
  • compaq
  • computer
  • control
  • data
  • database
  • databasepass
  • databasepassword
  • db1
  • db1234
  • db2
  • dba
  • dbpass
  • dbpassword
  • default
  • dell
  • demo
  • domain
  • domainpass
  • domainpassword
  • eric
  • exchange
  • fred
  • fuck
  • george
  • god
  • guest
  • hell
  • hello
  • home
  • homeuser
  • ian
  • ibm
  • internet
  • intranet
  • jen
  • joe
  • john
  • kate
  • katie
  • lan
  • lee
  • linux
  • login
  • loginpass
  • luke
  • mail
  • main
  • mary
  • mike
  • neil
  • nokia
  • none
  • null
  • oem
  • oeminstall
  • oemuser
  • office
  • oracle
  • orainstall
  • outlook
  • owner
  • pass
  • pass1234
  • passwd
  • password1
  • peter
  • pwd
  • qaz
  • qwe
  • qwerty
  • sam
  • sex
  • siemens
  • slut
  • sql
  • sqlpassoainstall
  • staff
  • student
  • sue
  • susan
  • system
  • teacher
  • technical
  • test
  • unix
  • user
  • web
  • win2000
  • win2k
  • win98
  • windows
  • winnt
  • winpass
  • winxp
  • www
  • wwwadmin
  • zxc
  • 007
  • 123
  • 1234
  • 2000
  • 2001
  • 2002
  • 2003
  • 2004
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 123456789
  • 1234567890

Uso de Vulnerabilidades:

Se sirven de las siguientes vulnerabilidades para llevar a cabo sus actividades.

Capacidades de Puerta trasera (Backdoor)

Intentarán conectarse a un canal IRC predeterminado desde donde permanecerán a la espera de la recepción de comandos remotos del atacante, que podrá:

  • Descargar y ejecutar ficheros
  • Habilitar y desabilitar la compartición de recursos en red
  • Activar el protocolo DCOM
  • Actuar como un servidor HTTP/FTP
  • Capturar información del sistema como :
    • Velocidad de la CPU
    • Memoria disponible
    • Espacio disponible en disco

Robo de claves de juegos.

Intentarán tener acceso a la informacióin relativa a las claves de instalación y uso de los siguientes juegos:

  • Battlefield 1942
  • Battlefield 1942 (Road To Rome)
  • Battlefield 1942 (Secret Weapons of WWII)
  • Battlefield Vietnam
  • Black and White
  • Chrome
  • Command and Conquer: Generals
  • Command and Conquer: Generals (Zero Hour)
  • Command and Conquer: Red Alert
  • Command and Conquer: Red Alert 2
  • Command and Conquer: Tiberian Sun
  • Counter-Strike (Retail)
  • FIFA 2002
  • FIFA 2003
  • Freedom Force
  • Global Operations
  • Gunman Chronicles
  • Half-Life
  • Hidden & Dangerous 2
  • IGI 2: Covert Strike
  • Industry Giant 2
  • James Bond 007: Nightfire
  • Legends of Might and Magic
  • Medal of Honor: Allied Assault
  • Medal of Honor: Allied Assault: Breakthrough
  • Medal of Honor: Allied Assault: Spearhead
  • Microsoft Windows Product ID
  • Nascar Racing 2002
  • Nascar Racing 2003
  • Need For Speed Hot Pursuit 2
  • Need For Speed: Underground
  • Neverwinter Nights
  • Neverwinter Nights (Hordes of the Underdark)
  • Neverwinter Nights (Shadows of Undrentide)
  • NHL 2002
  • NHL 2003
  • NOX
  • Rainbow Six III RavenShield
  • Shogun: Total War: Warlord Edition
  • Soldier of Fortune II - Double Helix
  • Soldiers Of Anarchy
  • The Gladiators
  • Unreal Tournament 2003
  • Unreal Tournament 2004

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

     

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro:

    Según versiones:

     

    • Versión SX:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\Run
      Microsoft Update = "MG-UPDATE.EXE"

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\RunServices
      Microsoft Update = "MG-UPDATE.EXE"

      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Run
      Microsoft Update = "MG-UPDATE.EXE"

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
      EnableDCOM= "N"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
      restrictanonymous= "dword:00000001"

    • Versión SY:

      Si se descarga WUAMGRD.EXE:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\Run
      Microsoft Update = "WUAMGRD.EXE"

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\RunServices
      Microsoft Update = "WUAMGRD.EXE"

      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Run
      Microsoft Update = "WUAMGRD.EXE"

      Si se descarga WAUMGRD.EXE:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\Run
      Microsoft Update = "WAUMGRD.EXE"

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\RunServices
      Microsoft Update = "WAUMGRD.EXE"

      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Run
      Microsoft Update = "WAUMGRD.EXE"

    • Versión SZ:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\Run
      Win32 USB Driver = "RUNDLL.EXE"

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\RunOnce
      Win32 USB Driver = "RUNDLL.EXE"

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\RunServices
      Win32 USB Driver = "RUNDLL.EXE"

      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Run
      Win32 USB Driver = "RUNDLL.EXE"

      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\RunOnce
      Win32 USB Driver = "RUNDLL.EXE"

      Que también se registrará como servicio con el nombre EatShit

  5. Aplique los parches que corrigen las vulnerabilidades de las que hace uso el gusano:
  6. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados