NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Gusano/Troyano de acceso remoto que propaga por comparticiones administrativas de sistemas Windows NT/2K/XP

 

Nombre de virus: W32/Graps.worm
Alias conocidos: -
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por comparticiones administrativas de sistemas remotos.
Activación: Por ejecución remota del gusano mediante psexec.exe
Detección: desde DATS 4276
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata a la vez de un troyano de acceso remoto y de un gusano de comparticiones de red. Propaga a través de la compartición administrativa por defecto, admin$. Cuando se ejecuta, crea una clave run en el registro para cargarse al inicio del sistema:

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Windows Management Instrumentation" = %worm path%\mwd.exe

 

Asimismo, crea los siguientes ficheros batch en el directorio local:

· wds.bat

· wds2.bat

· wds3.bat

 

Los ficheros batch intentan obtener acceso a la compartición ADMIN$ en sistemas remotos Windows NT/2K/XP, utilizando combinaciones sencillas de usuario/contraseña. Si esta compartición es accesible, ya sea porque (1) el sistema permite combinaciones sencillas de usuario/contraseña o (2) las credenciales actuales son suficientes para acceso de administrador, el gusano intenta copiar 3 ficheros en el sistema remoto:

1. mwd.exe (una copia del gusano)

2. psexec.exe (RemoteProcessLaunch application)

3. mswinsk.ocx (inocente DLL de Microsoft Winsock Control)

 

Utiliza PSEXEC.EXE para ejecutar remotamente el gusano y entonces borra la compartición ADMIN$.

Busca equipos de la subred local para copiarse, y crea un servidor de acceso remoto que escucha en el puerto 45836. Este servidor permite a un atacante remoto realizar las siguientes tareas:

· Descargar la siguiente información

o Tiempo de conexión

o Velocidad de Descarga

o Información de CPU

o RAM

o Uso del Disco

· Especificar una dirección IP destino para inundar de paquetes ICMP/HTTP

· Descargar/ejecutar ficheros

· Funciones Internet Relay Chat (IRC)

· Redirección de Puerto IP (para crear proxies)

 

Un sistema infectado intentará conectar a las siguientes direcciones

· frozenhighlands.skiebus.com

· frozenhighlands.rock-slides.com

· jjljsmlmjo.no-ip.com

· llqrlmspmm.dyndns.org

· qplfdempqo.dyndns.org

 

Detección y eliminación

El gusano se controla desde los DAT 4276 , para eliminarlo ejecutar UNDO48 , reiniciar el sistema y ejecutar una exploración bajo demanda o LIMPIANT

Muchos virus que propagan por comparticiones confían en nombres de usuario y contraseñas 'sencillos', de manera que intentan obtener derechos administrativos utilizando un ataque basado en diccionario, probando nombres de usuario como "admin" o "administrador" y contraseñas como "admin" o "123456". De este modo, consiguen muchas veces utilizar las credenciales del usuario local, por lo que si un super-administrador o administrador del dominio se loga a un sistema infectado, o el sistema se infecta, el virus tiene acceso a todos los recursos que se le permitan a este usuario.

Estos tipos de gusano a menudo confían en la presencia de comparticiones administrativas por defecto (C$, IPC$, ADMIN$), por lo que es una buena idea eliminarlas en todos los sistemas para evitar tal propagación. Un sencillo fichero batch que contenga los siguiente comandos puede ser de ayuda, especialmente para ejecutarlo desde logon script o desde la carpeta de inicio.

· net share c$ /delete

· net share d$ /delete

· net share e$ /delete

· net share ipc$ /delete

· net share admin$ /delete

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 10 de Julio de 2003

Anterior