|
VSantivirus No. 1691 Año 9, martes 22 de febrero de 2005
W32/Rbot.CRG. Utiliza la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/rbot-crg.htm
Nombre: W32/Rbot.CRG
Nombre NOD32: Win32/Rbot.CRG
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Rbot.CRG, Backdoor.RBot.27343C51, Backdoor.Win32.Rbot.ic, Backdoor.Win32.Rbot.ix, W32.Spybot.Worm, W32/Sdbot.worm, W32/Sdbot.worm.gen, W32/Sdbot.worm.gen.y, Win32.HLLW.MyBot, Win32/Rbot.CRG, Worm/RBot.98304, WORM_RBOT.ALS
Fecha: 18/feb/05
Plataforma: Windows NT, 2000, XP
Tamaño: 98,304 bytes (Morphine)
Gusano que se propaga por recursos compartidos de redes, intentando conectarse al recurso IPC$ (Inter-Process Communication). Este es un recurso compartido oculto, estándar en máquinas NT, utilizado para establecer comunicación con otros equipos.
Si logra conectarse, intentará liberar una copia de si mismo en el equipo remoto. Si este recurso compartido posee derechos restringidos de acceso, el gusano utilizará una lista de nombres de usuario y contraseñas predefinidos, para intentar conectarse.
El gusano también explota las vulnerabilidades RPC/DCOM y LSASS en equipos sin los parches o actualizaciones correspondientes.
Posee capacidades de caballo de Troya de acceso remoto por puerta trasera. Se conecta a un servidor de IRC remoto, y se une a un canal específico, donde queda esperando instrucciones. Si estos comandos son ejecutados por un atacante, éste tendrá el control total del equipo.
El atacante podrá usar también el equipo infectado para lanzar ataques de denegación de servicio (DoS) a determinados sitios de Internet.
El gusano es capaz de robar las identificaciones de productos de Microsoft Windows así como las claves de registro de CD de conocidos juegos.
Puede ejecutar el sniffer de redes Carnivore para obtener contraseñas y otra clase de información.
Cuando se ejecuta, se copia en el directorio System32 de Windows:
c:\windows\system32\wingtp.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000).
Para ejecutarse en cada reinicio del sistema, crea las siguientes claves en el registro:
HKCU\Software\Microsoft\OLE
Microsofts media = "wingtp.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsofts media = "wingtp.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsofts media = "wingtp.exe"
También crea las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
El troyano contiene código para explotar la vulnerabilidad RPC/DCOM y también la que afecta al componente LSASS. Para ello, escanea la subred local (clase B), enviando paquetes SYN al puerto TCP/445, en busca de equipos que respondan.
Puede propagarse por el recurso compartido IPC$. Si el acceso está restringido, intenta aprovecharse del uso de contraseñas de administrador débiles, utilizando la siguiente lista de nombres de usuario y contraseñas:
Nombres de usuario:
admin
administrador
administrateur
administrator
admins
computer
database
db2
dba
default
guest
oracle
owner
root
staff
student
teacher
wwwadmin
Contraseñas:
access
accounting
accounts
adm
admin
administrador
administrat
administrateur
administrator
admins
asd
backup
bill
bitch
blank
bob
brian
changeme
chris
cisco
compaq
control
data
database
databasepass
databasepassword
db1
db1234
db2
dbpass
dbpassword
default
dell
demo
domain
domainpass
domainpassword
eric
exchange
fred
fuck
george
god
guest
hell
hello
home
homeuser
hp
ian
ibm
internet
intranet
jen
joe
john
kate
katie
lan
lee
linux
login
loginpass
luke
mail
main
mary
mike
neil
nokia
none
null
oem
oeminstall
oemuser
office
oracle
orainstall
outlook
pass
pass1234
passwd
password
password1
peter
pwd
qaz
qwe
qwerty
root
sa
sam
server
sex
siemens
slut
sql
sqlpassoainstall
student
sue
susan
system
teacher
technical
test
unix
user
web
win2000
win2k
win98
windows
winnt
winpass
winxp
www
xp
zxc
1
007
12
123
1234
2000
2001
2002
2003
2004
12345
123456
1234567
12345678
123456789
1234567890
Un atacante, podrá realizar las siguientes acciones (entre otras), en los equipos infectados:
- Buscar un archivo en el equipo
- Cambiar el servidor de IRC
- Capturar la salida del teclado
- Conectarse o desconectarse del servidor
- Descargar archivos vía FTP
- Ejecutar archivos .EXE
- Ejecutar funciones de línea de comandos
- Enviar archivos vía DCC (comunicación directa entre clientes de IRC, sin pasar por el servidor).
- Generar un nuevo nick al azar
- Listar todos los procesos activos
- Vaciar caches de DNS (flushing)
El gusano permite también realizar ataques de denegación de servicio a determinados sitios, por medio del envío masivo de paquetes ICMP, PING, SYN, TCP y UDP.
Puede lanzar el Carnivore (un sniffer -olfateador- del tráfico de una red), para obtener contraseñas y otra información. La herramienta intentará interceptar las siguientes cadenas:
: auth
: login
:!auth
:!hashin
:!login
:!secure
:!syn
:$auth
:$hashin
:$login
:$syn
:%auth
:%hashin
:%login
:%syn
:&auth
:&login
:*auth
:*login
:,auth
:,login
:.auth
:.hashin
:.login
:.secure
:.syn
:/auth
:/login
:?auth
:?login
:@auth
:@login
:\auth
:\login
:~auth
:~login
:+auth
:+login
:=auth
:=login
:'auth
:-auth
:'login
:-login
CDKey
JOIN #
login
NICK
now an IRC Operator
OPER
PASS
paypal
PAYPAL.COM
paypal.com
USER
El gusano solo se puede propagar bajo Windows NT, 2000, y XP.
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
IMPORTANTE:
Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htm
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system32\wingtp.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsofts media = "wingtp.exe"
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
5. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada y cambie su valor por "Y":
EnableDCOM
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsofts media = "wingtp.exe"
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
9. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsofts media = "wingtp.exe"
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
11. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada y cambie su valor por cero (dword:00000000):
restrictanonymous
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|