NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Gusano que propaga por comparticiones administrativas y chat (IRC), finaliza proceso del antivirus de la memoria, lleva a cabo un ataque de denegación de servicios y modifica el fichero Hosts del equipo infectado.

 

Nombre de virus: W32/Polybot.l!irc
Alias conocidos:
Backdoor.Agobot.hm, W32.HLLW.Gaobot.gen
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación:
Por comparticiones administrativas y chat (IRC)
Activación: Por ejecución remota de fichero ejecutable
Detección: desde DATS 4339
Motor necesario: desde 4.2.60
Infección actual:
Inicial (Inicial, Media, Elevada)

Este virus pertenece a la familia de bots IRC basados en el grupo W32/Gaobot.worm. El gusano presenta las siguientes características:

  • Se propaga a través de comparticiones
  • Utiliza técnicas de ocultamiento, y esconde el proceso en memoria. Borra el fichero vírico.
  • Conecta a servidores IRC para realizar varias funciones
  • Finaliza servicios de seguridad
  • Lleva a cabo un ataque de Denegación de Servicios
  • Modifica el fichero host del sistema infectado
  • Puede propagar utilizando la vulnerabilidad MS03-026


Propagación por Comparticiones

El gusano intenta propagar a través de las comparticiones administrativas por defecto:

  • e$
  • d$
  • c
  • print$
  • c$
  • admin$

 

El gusano contiene una lista de combinaciones típicas de nombre de usuario y contraseña intuitivos, por lo que es recomendable evitar proteger las comparticiones mediante contraseñas sencillas.


Componente IRC Bot

El gusano intenta conectar a diferentes servidores IRC remotos, y puede realizar las siguientes acciones:

- conectar a un servidor IRC y participar en un canal
- activar/desactivar proceso DCOM en equipo remoto
- obtener información del sistema
- descargar/subir/ejecutar ficheros en sistema remoto
- el equipo infectado se puede comportar como un servidor FTP
- manipular comparticiones de ficheros del equipo infectado
- crear un shell en el equipo remoto
- actualizarse con una nueva versión del virus
- apagar/reiniciar el equipo
- eliminar un proceso o servicio en el equipo infectado
- redireccionar tráfico de servidor Proxy HTTPS, SOCKS, GRE, TCP
- buscar procesos de W32/Bagle@MM

El gusano también utiliza el componente bot para robar CD keys de los siguientes juegos, incluyendo IDs de producto de Windows:

  • Unreal Tournament 2003
  • The Gladiators
  • Soldiers Of Anarchy
  • Shogun Total War Warlord Edition
  • Need For Speed Underground
  • Need For Speed Hot Pursuit 2
  • NHL 2003
  • NHL 2002
  • Nascar Racing 2003
  • Nascar Racing 2002
  • Medal of Honor Allied Assault Spearhead
  • Medal of Honor Allied Assault Breakthrough
  • Medal of Honor Allied Assault
  • James Bond 007 Nightfire
  • Industry Giant 2
  • IGI2 Covert Strike
  • Hidden and Dangerous 2
  • Half-Life
  • Gunman Chronicles
  • Global Operations
  • Freedom Force
  • FIFA 2003
  • FIFA 2002
  • Counter-Strike
  • Command and Conquer Tiberian Sun
  • Command and Conquer Red Alert2
  • Command and Conquer Generals Zero Hour
  • Command and Conquer Generals
  • Black and White
  • Battlefield 1942 The Road To Rome
  • Battlefield 1942 Secret Weapons Of WWII
  • Battlefield 1942


Componente de Denegación de Servicio

El cuerpo del gusano contiene las siguientes URLs. Intenta enviar una serie de paquetes de datos a las mismas en un intento de provocar una saturación. La lista no es exhaustiva.

  • www.msn.co.jp
  • yahoo.co.jp
  • www.nifty.com
  • www.d1asia.com
  • www.st.lib.keio.ac.jp
  • www.lib.nthu.edu.tw
  • www.above.net
  • www.level3.com
  • nitro.ucsc.edu
  • www.burst.net
  • www.cogentco.com
  • www.rit.edu
  • www.nocster.com
  • www.verio.com
  • www.stanford.edu
  • www.xo.net
  • de.yahoo.com
  • www.msn.de
  • www.switch.ch
  • www.bitnet.net
  • verio.fr
  • www.utwente.nl
  • www.schlund.net


Componente de Acceso Remoto

El gusano abre puertos aleatorios en el sistema para permtir su acceso remoto.


Síntomas

- El virus oculta todos los ficheros que contienen la palabra "sound" en el equipo infectado.

- Se abren puertos inusuales

- Se añaden las siguientes claves de registro en un sistema infectado:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOUNDMAN
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SoundMan
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOUNDMAN
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SoundMan

 

- El virus modifica las siguientes claves de registro para provocar la ejecución del gusano al iniciar el sistema:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "^`d}qZxu" = ~`d}qzxu3zYF
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "^`d}qZxu" = ~`d}qzxu3zYF

- El gusano intenta finalizar muchos procesos del sistema, de programas antivirus y de seguridad, tales como ZONEALARM.EXE, HIJACKTHIS.EXE, _AVPM.EXE, VSSTAT.EXE, SCAN32.EXE, SVCHOSTS.EXE, REGEDIT.EXE, etc..


Método de infección

El virus sobreescribe el fichero hosts para redirigir las siguientes URLs a la dirección IP 127.0.0.1. Esto evitará que los usuarios accedan a estas webs para descargar actualizaciones del antivirus.

  • localhost
  • www.symantec.com
  • securityresponse.symantec.com
  • symantec.com
  • www.sophos.com
  • sophos.com
  • www.mcafee.com
  • mcafee.com
  • liveupdate.symantecliveupdate.com
  • www.viruslist.com
  • viruslist.com
  • viruslist.com
  • f-secure.com
  • www.f-secure.com
  • kaspersky.com
  • www.avp.com
  • www.kaspersky.com
  • avp.com
  • www.networkassociates.com
  • networkassociates.com
  • www.ca.com
  • ca.com
  • mast.mcafee.com
  • my-etrust.com
  • www.my-etrust.com
  • download.mcafee.com
  • dispatch.mcafee.com
  • secure.nai.com
  • nai.com
  • www.nai.com
  • update.symantec.com
  • updates.symantec.com
  • us.mcafee.com
  • liveupdate.symantec.com
  • customer.symantec.com
  • rads.mcafee.com
  • trendmicro.com
  • www.trendmicro.com

 

Detección y eliminación

El gusano se controla desde los DAT 4339 , para su eliminación se recomienda ejecutar nuestra utilidad ELIRPCA.

SATINFO, VIRUSCAN SPAIN SERVICE 18 de Marzo de 2004

Anterior