Autorun.AOL - W32/Autorun.AOL
| Nombre común: Autorun.AOL
Nombre técnico: W32/Autorun.AOL
Peligrosidad: Media
Tipo: Virus
Efectos: Se propaga explotando la vulnerabilidad denominada MS04-011, a través de redes de ordenadores y de unidades extraíbles. Tiene caracterísiticas de backdoor, ya que se intenta conectar a un canal IRC para recibir instrucciones remotas.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95/3.X; IIS
Fecha de detección: 15/12/2008
Detección actualizada: 22/12/2008
Estadísticas No
Descripción Breve
Autorun.AOL es un gusano cuyo objetivo principal es propagarse y afectar al mayor número de ordenadores posible. Utiliza los siguientes medios para propagarse:
a través de Internet, explotando la vulnerabilidad denominada MS04-011.
a través de redes de ordenadores.
a través de unidades extraíbles.
Además, actúa como como backdoor intentando conectarse a un canal IRC para recibir instrucciones de su creador, como descargar archivos o realizar ataques de denegación de servicio, entre otras.
Efectos
Autorun.AOL realiza las siguientes acciones:
Actúa como backdoor intentando conectarse a un canal IRC a través del escaneo de los puertos del sistema.
Si consigue conectarse, permanece a la espera de recibir instrucciones de su creador, como descargar archivos o realizar ataques de denegación de servicio, entre otras.
Metodo de Infección
Autorun.AOL crea el archivo CSRSC.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Autorun.AOL crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSPOOLSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSPOOLSVC\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSPOOLSVC\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSpoolSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSpoolSvc\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSpoolSvc\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc\Security
Mediante estas entradas, Autorun.AOL consigue registrarse como un servicio denominado WinSpoolSVC y así ejecutarse cada vez que Windows se inicia.
Método de Propagación
Autorun.AOL se propaga a través de Internet explotando cierta vulnerabilidad, de redes de ordenadores y de unidades extraíbles.
1-. Propagación a de Internet
Para ello, realiza el siguiente proceso:
Ataca direcciones IP aleatorias, en las que intenta explotar la vulnerabilidad denominada MS04-011.
Si lo consigue, descarga y ejecuta el gusano en el ordenador vulnerable.
2.- Propagación a través de redes de ordenadores.
Comprueba si el ordenador afectado está conectado a una red.
En caso afirmativo, intenta acceder a los recursos compartidos de red, empleando contraseñas que son típicas o fáciles de adivinar.
Además, intenta acceder a servidores SQL utilizando las siguientes contraseñas:
12345
123456
1234567
12345678
123456789
1234567890
access
accounting
accounts
admin
administrador
administrat
administrateur
administrator
admins
backup
bitch
blank
brian
changeme
chris
cisco
compaq
control
database
databasepass
databasepassword
db1234
dbpass
dbpassword
default
domain
domainpass
domainpassword
exchange
george
guest
hello
homeuser
internet
intranet
katie
linux
login
loginpass
nokia
oeminstall
oemuser
office
oracle
orainstall
outlook
pass1234
passwd
password
password1
peter
qwerty
server
siemens
sqlpassoainstall
staff
student
susan
system
teacher
technical
win2000
win2k
win98
windows
winnt
winpass
winxp
3-. Propagación a través de unidades extraíbles
Crea una copia de sí mismo en los dispositivos extraíbles que el usuario conecte al ordenador con el nombre AUTORUNME.EXE.
Otros Detalles
Autorun.AOL tiene un tamaño de 32256 Bytes.
Además, Autorun.AOL crea un mutex llamado Xx8K78xP, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.
|
|
Enviado con fecha: 22-12-2008 17:01:31 - Visto: 2586 veces.
Información extraida de la Web de Panda Antivirus.
Foro Virus
|
|