| Nombre común: Oscarbot.TK
Nombre técnico: W32/Oscarbot.TK.worm
Peligrosidad: Media
Tipo: Backdoor
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 21/03/2008
Detección actualizada: 21/03/2008
¿Está en circulación? Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Oscarbot.TK es un backdoor que permite a los hackers acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad: contraseñas guardadas por algunos servicios de Windows; pulsaciones de teclado realizadas, para así conseguir información de acceso a entidades bancarias online, contraseñas u otra información sensible.
Envía la información que ha conseguido recoger a un usuario remoto, a través de cualquier vía: correo electrónico, FTP, etc.
Provoca pérdidas de productividad, dificultando la realización de las tareas a realizar:
En el ordenador afectado: convierte el ordenador en una plataforma para realizar acciones maliciosas de manera encubierta: envío de spam, lanzamiento de ataques de Denegación de Servicio, distribución de malware, etc.
En la red local: provoca una gran actividad en el tráfico de red y la degradación de su ancho de banda.
Reduce el nivel de seguridad del ordenador: finaliza procesos pertenecientes a diversas herramientas de seguridad, como programas antivirus y cortafuegos, dejando al ordenador indefenso frente a ataques de otro malware; modifica la configuración de Seguridad de Internet Explorer, reduciéndola; permanece a la espera de órdenes de control remoto, recibidas a través de IRC; modifica los permisos del sistema, reduciendo la seguridad.
Utiliza técnicas de ocultación para impedir su detección por parte del usuario:
Emplea técnicas propias incluidas en su código para ocultarse mientras está activo.
Finaliza procesos correspondientes a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, para evitar ser detectado.
Modifica los permisos del sistema con el fin de ocultarse.
Efectos
Oscarbot.TK permite acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Evita su detección por parte del usuario afectado, empleando las siguientes técnicas de ocultación:
Técnicas propias (incluidas en su código), mediante las cuales oculta sus archivos y procesos mientras está activo.
Finaliza los procesos correspondientes a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, de modo que no puedan alertar al usuario de la presencia de este malware en el ordenador.
Modifica los permisos del sistema con el fin de ocultarse.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad:
Contraseñas guardadas por algunos servicios de Windows.
Pulsaciones de teclado realizadas, para así conseguir información de acceso a entidades bancarias online, contraseñas u otra información sensible.
Posteriormente, envía la información que ha conseguido recoger a un usuario remoto, a través de cualquier vía: correo electrónico, FTP, etc.
Provoca pérdidas de productividad, dificultando la realización de las tareas a realizar:
Convierte el ordenador en una plataforma para realizar acciones maliciosas de manera encubierta.
Provoca pérdidas de productividad en la red local a la que pertenece el ordenador comprometido:
Provoca una gran actividad en el tráfico de red y la degradación de su ancho de banda.
Reduce el nivel de seguridad del ordenador:
Finaliza procesos pertenecientes a diversas herramientas de seguridad, como programas antivirus y cortafuegos, dejando al ordenador indefenso frente a ataques de otro malware.
Modifica la configuración de Seguridad de Internet Explorer, reduciendo su nivel de seguridad.
Modifica los permisos del sistema, reduciendo el nivel de seguridad.
Método de Propagación
Propagación mediante la explotación de vulnerabilidades remotas:
Oscarbot.TK realiza el siguiente proceso:
Se propaga atacando direcciones IP, obtenidas aleatoriamente o de la red a la que pertenece el ordenador afectado.
Intenta acceder a las direcciones IP atacadas aprovechando alguna vulnerabilidad existente o a través de un puerto que se encuentre abierto.
En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo.
Propagación a través de IRC:
Oscarbot.TK realiza el siguiente proceso:
Espera hasta que el usuario se conecta a un canal de chat IRC.
Envía una copia de sí mismo a todos los usuarios que se encuentren conectados al canal en ese momento.
Propagación a través de unidades mapeadas:
Oscarbot.TK comprueba si el ordenador infectado se encuentra conectado a una red.
En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas.
Propagación a través de recursos compartidos de red:
Oscarbot.TK comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas.
Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Otros Detalles
Oscarbot.TK tiene las siguientes características adicionales:
Tiene un tamaño de 75264 Bytes.
|
|