Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

IRC/Smev. Un troyano que convierte su PC en un BOT
 
VSantivirus No. 645 - Año 6 - Sábado 13 de abril de 2002

 IRC/Smev. Un troyano que convierte su PC en un BOT
http://www.vsantivirus.com/smev.htm

Nombre: IRC/Smev
Tipo: Caballo de Troya y gusano de IRC
Alias: IRC-Smev
Puerto por defecto: 6667
Fecha: 11/abr/02
Fuente: NAI

Se trata de un troyano que se vale de conocidos exploits y herramientas legítimas, para infectar a su víctima y propagarse en los canales de IRC (Internet Relay Chat). Utiliza el mIRC, como cliente de chat, al cual renombra y copia en una carpeta. De ese modo el usuario infectado ni siquiera requiere tener instalado previamente tal programa.

Un archivo de proceso por lotes (.BAT) provee las acciones necesarias para provocar la infección, ejecutando una serie de scripts que contienen las instrucciones que comprometen la seguridad de los sistemas infectados.

El primer script lanzado por el archivo BAT, ejecuta una herramienta estándar para intentar conectarse a otras máquinas vulnerables a través de sus direcciones IP. Con la primera máquina vulnerable encontrada, se produce la propagación del gusano a través de la red.

Un segundo script es llamado para intentar conexiones al recurso 'C$', si se encuentra compartido en una máquina remota considerada vulnerable. Los intentos son hechos con el nombre de usuario 'Administrator', y otros obtenidos con la acción del script anterior.

Enseguida, otra utilidad es usada para copiar dos archivos en los recursos compartidos mencionados, y luego ejecutarlos en forma remota.

El batch agrega el siguiente gancho para ejecutar el cliente mIRC renombrado como WIN32.EXE, y luego se borra a si mismo.

HKLM\Software\Micrsoft\Windows\CurrentVersion\Run
Wins32 = C:\WINNT\SYSTEM32\SH\WIN32.EXE

El gusano puede actuar como un bot de IRC en la máquina de la víctima, intentando conectarse a varios servidores de IRC, listados en un archivo de texto provisto por el propio troyano. Una vez conectado, el bot puede recibir varios comandos remotos, por ejemplo:

  • ejecutar la rutina de propagación
  • unirse a un canal
  • limpiar archivos temporales
  • reiniciar (la computadora o el propio bot)
  • quitar el bot de una máquina remota

El cliente del mIRC, renombrado como WIN32.EXE es detectado como una aplicación infectada por la mayoría de los antivirus, por su carácter peligroso, aunque se trate del mismo ejecutable (limpio) de una de las versiones del verdadero mIRC.

Para quitar el troyano de un sistema infectado, ejecute uno o dos antivirus actualizados, y borre todos los archivos que parezcan infectados.

Glosario

IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

BOT - Copia de un usuario en un canal de IRC, generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea, y sin nuestra intervención directa.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS