Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Troyano que intenta crear una red de máquinas zombis
 
VSantivirus No. 1936 Año 9, martes 25 de octubre de 2005

Troyano que intenta crear una red de máquinas zombis
http://www.vsantivirus.com/25-10-05.htm

Por Angela Ruiz
angela@videosoft.net.uy


Se ha reportado la aparición de un troyano del tipo IRC bot, capaz de actuar como cliente de una botnet. Identificado como Mocbot.A por algunos fabricantes, es detectado por NOD32 como una variante genérica del Win32/IRCBot.OO.

Una botnet no es otra cosa que una red de máquinas que actúan como robots (bots), cumpliendo tareas programadas por un atacante (estas máquinas también son llamadas zombis).

Sin embargo, en este caso no parece tratarse de una amenaza importante, aún cuando las primeras informaciones asociaban este troyano con uno de los exploits recientemente publicados para la vulnerabilidad corregida por Microsoft en su boletín MS05-047 (ver "Nuevo exploit para vulnerabilidad Plug and Play", http://www.vsantivirus.com/23-10-05.htm). 

El caballo de Troya utiliza en cambio, la vulnerabilidad originalmente descripta y solucionada por el parche MS05-039, la misma de la que se aprovecharon el Zotob y sus variantes, para propagarse masivamente durante el pasado mes de agosto.

La confusión sobre el exploit del que realmente se vale este nuevo troyano, se debe a que el mismo utiliza parte del código publicado para sacar provecho de la vulnerabilidad MS05-047. Sin embargo, para llevar a cabo sus acciones, utiliza el mismo exploit que usara el Zotob para la vulnerabilidad MS05-039.

El troyano está programado para crear una red de máquinas zombis, todas controladas de forma remota por un atacante. Sin embargo, esta acción no funciona, porque el nuevo troyano intenta conectarse a dos servidores IRC en Rusia, pero los mismos no parecen estar activos, o estar sobrecargados.

La intención del BOT era utilizar las máquinas reclutadas, para que cada una de ellas encontrara otras; y si las mismas eran vulnerables al fallo en el componente Plug-and-Play, infectarlas para que a su vez buscaran e infectaran nuevos equipos.

Sin embargo, al no poder conectarse a los servidores desde donde recibe las instrucciones, el troyano actualmente no funciona como fue planeado, y por lo tanto no constituye un riesgo.

Sin embargo, es importante tener en cuenta que muy pronto podría aparecer un nuevo código maligno que tal vez si pueda aprovecharse de la vulnerabilidad anunciada en el boletín MS05-047, por lo que se insiste en la necesidad de la actualización inmediata con dicho parche.


Más información:

Nuevo exploit para vulnerabilidad Plug and Play
http://www.vsantivirus.com/23-10-05.htm

MS05-047 Ejecución de código en Plug and Play (905749)
http://www.vsantivirus.com/vulms05-047.htm

MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htm

Zotob. Se propaga usando vulnerabilidad MS05-039
http://www.vsantivirus.com/zotob.htm

El virus Zotob sigue infectando equipos
http://www.vsantivirus.com/ev-18-08-05.htm

Virus: engranajes de una cadena criminal
http://www.vsantivirus.com/mm-engranajes.htm

IRCBot.OO. Descarga archivos, utiliza vulnerabilidad
http://www.vsantivirus.com/ircbot-oo.htm


[Actualizado 25/10/05 10:52 -0200]





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS