| Nombre común: IRCBot.CIG
Nombre técnico: W32/IRCBot.CIG.worm
Peligrosidad: Media
Tipo: Gusano
Efectos: Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse y descargar una copia de sí mismo en el ordenador afectado. Además, reduce la seguridad del ordenador modificando la configuración del Centro de Seguridad de Windows y deshabilita el Administrador de Tareas.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 13/01/2009
Detección actualizada: 20/01/2009
Estadísticas No
Descripción Breve
IRCBot.CIG es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Además, realiza varias modificaciones en el Registro de Windows que tienen las siguientes consecuencias, entre otras:
Impiden el acceso al Administrador de Tareas, que permite visualizar los procesos que están en ejecución.
Reduce la seguridad del ordenador, ya que deshabilita las notificaciones del antivirus y del cortafuegos del Centro de Seguridad de Windows.
IRCBot.CIG se propaga explotando la vulnerabilidad MS08-067 y realizando copias de sí mismo en las unidades extraíbles.
Efectos
IRCBot.CIG realiza las siguientes acciones:
Obtiene información del ordenador afectado, como dirección IP y versión del sistema operativo y la sube a cierta dirección para ponerla a disposición de su creador.
Impide el acceso a las siguientes aplicaciones:
- Administrador de Tareas, que permite visualizar los procesos que están en ejecución.
- Editor del Registro de Windows.
Metodo de Infección
IRCBot.CIG crea los siguientes archivos:
ALCOM.EXE, en la carpeta drivers del directorio de sistema de Windows. Este archivo es una copia del gusano.
X4J8N9A6P9T.EXE, en el directorio raíz de la unidad C:.
un archivo aleatorio con extensión EXE en el directorio de archivos temporales. Este archivo se encarga de recoger información del ordenador afectado.
Además, crea un archivo AUTORUN.INF en todas las unidades extraíbles. De esta manera, consigue ejecutarse cada vez que se accede a alguna de ellas.
IRCBot.CIG crea las siguientes entradas en el Registro de Windows:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 01, 00, 00, 00
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 01, 00, 00, 00
Mediante estas entradas, IRCBot.CIG deshabilita el Administrador de Tareas.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallOverride = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = 01, 00, 00, 00
Mediante estas entradas, modifica la configuración del Centro de Seguridad de Windows para deshabilitar las notificaciones del antivirus y del cortafuegos.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteRegistry
Start = 04, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr
Start = 04, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
Start = 04, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start = 04, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
Start = 04, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Start = 04, 00, 00, 00
Mediante estas entradas, IRCBot.CIG detiene varios servicios de Windows relacionados con la seguridad.
IRCBot.CIG modifica las siguientes entradas del Registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe %sysdir%\drivers\alcom.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta modificación, IRCBot.CIG consigue ejecutarse automáticamente cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = Y
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = N
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
WaitToKillServiceTimeout = 20000
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
WaitToKillServiceTimeout = 7000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
Restrictanonymous = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
restrictanonymous = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
WaitToKillServiceTimeout = 20000
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
WaitToKillServiceTimeout = 7000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 01, 00, 00, 00
Método de Propagación
IRCBot.CIG se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Si encuentra algún ordenador vulnerable, descargará una copia de sí mismo en el sistema.
Ademas, IRCBot.CIG también se propaga a través de unidades extraíbles, realizando copias de sí mismo en ellas. A su vez, crea un archivo AUTORUN.INF para conseguir ejecutarse cada vez que se accede a alguna de ellas.
Otros Detalles
IRCBot.CIG está escrito en el lenguaje de programación Delphi. Este gusano tiene un tamaño de 153088 Bytes.
|
|
