W32/Rbot.CRG. Utiliza la vulnerabilidad RPC/DCOMNombre: W32/Rbot.CRG
Nombre NOD32: Win32/Rbot.CRG
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Rbot.CRG, Backdoor.RBot.27343C51, Backdoor.Win32.Rbot.ic, Backdoor.Win32.Rbot.ix, W32.Spybot.Worm, W32/Sdbot.worm, W32/Sdbot.worm.gen, W32/Sdbot.worm.gen.y, Win32.HLLW.MyBot, Win32/Rbot.CRG, Worm/RBot.98304, WORM_RBOT.ALS
Plataforma: Windows NT, 2000, XP
Tamaño: 98,304 bytes (Morphine)
Gusano que se propaga por recursos compartidos de redes, intentando conectarse al recurso IPC$ (Inter-Process Communication). Este es un recurso compartido oculto, estándar en máquinas NT, utilizado para establecer comunicación con otros equipos.
Si logra conectarse, intentará liberar una copia de si mismo en el equipo remoto. Si este recurso compartido posee derechos restringidos de acceso, el gusano utilizará una lista de nombres de usuario y contraseñas predefinidos, para intentar conectarse.
El gusano también explota las vulnerabilidades RPC/DCOM y LSASS en equipos sin los parches o actualizaciones correspondientes.
Posee capacidades de caballo de Troya de acceso remoto por puerta trasera. Se conecta a un servidor de IRC remoto, y se une a un canal específico, donde queda esperando instrucciones. Si estos comandos son ejecutados por un atacante, éste tendrá el control total del equipo.
El atacante podrá usar también el equipo infectado para lanzar ataques de denegación de servicio (DoS) a determinados sitios de Internet.
El gusano es capaz de robar las identificaciones de productos de Microsoft Windows así como las claves de registro de CD de conocidos juegos.
Puede ejecutar el sniffer de redes Carnivore para obtener contraseñas y otra clase de información.
Cuando se ejecuta, se copia en el directorio System32 de Windows:
c:\windows\system32\wingtp.exe
Para ejecutarse en cada reinicio del sistema, crea las siguientes claves en el registro:
HKCU\Software\Microsoft\OLE
Microsofts media = "wingtp.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsofts media = "wingtp.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsofts media = "wingtp.exe"
También crea las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
El troyano contiene código para explotar la vulnerabilidad RPC/DCOM y también la que afecta al componente LSASS. Para ello, escanea la subred local (clase B), enviando paquetes SYN al puerto TCP/445, en busca de equipos que respondan.
Puede propagarse por el recurso compartido IPC$. Si el acceso está restringido, intenta aprovecharse del uso de contraseñas de administrador débiles, utilizando la siguiente lista de nombres de usuario y contraseñas:
Nombres de usuario:
admin
administrador
administrateur
administrator
admins
computer
database
db2
dba
default
guest
oracle
owner
root
staff
student
teacher
wwwadmin
Contraseñas:
access
accounting
accounts
adm
admin
administrador
administrat
administrateur
administrator
admins
asd
backup
bill
bitch
blank
bob
brian
changeme
chris
cisco
compaq
control
data
database
databasepass
databasepassword
db1
db1234
db2
dbpass
dbpassword
default
dell
demo
domain
domainpass
domainpassword
eric
exchange
fred
fuck
george
god
guest
hell
hello
home
homeuser
hp
ian
ibm
internet
intranet
jen
joe
john
kate
katie
lan
lee
linux
login
loginpass
luke
mail
main
mary
mike
neil
nokia
none
null
oem
oeminstall
oemuser
office
oracle
orainstall
outlook
pass
pass1234
passwd
password
password1
peter
pwd
qaz
qwe
qwerty
root
sa
sam
server
sex
siemens
slut
sql
sqlpassoainstall
student
sue
susan
system
teacher
technical
test
unix
user
web
win2000
win2k
win98
windows
winnt
winpass
winxp
www
xp
zxc
1
007
12
123
1234
2000
2001
2002
2003
2004
12345
123456
1234567
12345678
123456789
1234567890
Un atacante, podrá realizar las siguientes acciones (entre otras), en los equipos infectados:
Buscar un archivo en el equipo
Cambiar el servidor de IRC
Capturar la salida del teclado
Conectarse o desconectarse del servidor
Descargar archivos vía FTP
Ejecutar archivos .EXE
Ejecutar funciones de línea de comandos
Enviar archivos vía DCC (comunicación directa entre clientes de IRC, sin pasar por el servidor).
Generar un nuevo nick al azar
Listar todos los procesos activos
Vaciar caches de DNS (flushing)
El gusano permite también realizar ataques de denegación de servicio a determinados sitios, por medio del envío masivo de paquetes ICMP, PING, SYN, TCP y UDP.
Puede lanzar el Carnivore (un sniffer -olfateador- del tráfico de una red), para obtener contraseñas y otra información. La herramienta intentará interceptar las siguientes cadenas:
: auth
: login
:!auth
:!hashin
:!login
:!secure
:!syn
:$auth
:$hashin
:$login
:$syn
:%auth
:%hashin
:%login
:%syn
:&auth
:&login
:*auth
:*login
:,auth
:,login
:.auth
:.hashin
:.login
:.secure
:.syn
:/auth
:/login
:?auth
:?login
:@auth
:@login
:\auth
:\login
:~auth
:~login
:+auth
:+login
:=auth
:=login
:'auth
:-auth
:'login
:-login
CDKey
JOIN #
login
NICK
now an IRC Operator
OPER
PASS
paypal
PAYPAL.COM
paypal.com
USER
El gusano solo se puede propagar bajo Windows NT, 2000, y XP.
Reparación manualNOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
IMPORTANTE:
Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmAntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system32\wingtp.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsofts media = "wingtp.exe"
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
5. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada y cambie su valor por "Y":
EnableDCOM
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsofts media = "wingtp.exe"
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
9. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsofts media = "wingtp.exe"
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
11. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada y cambie su valor por cero (dword:00000000):
restrictanonymous
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/rbot-crg.htm
