Rbot (MS05-039). Utiliza exploit Plug and PlayNombre: Rbot (MS05-039)
Nombre Nod32: Win32/Rbot
Tipo: Gusano de Internet y Caballo de Troya
Alias: Rbot, Backdoor.Spybot.TI, Backdoor.Win32.Rbot.yk, Backdoor.Win32.Rbot.ym, IRC/BackDoor.SdBot.HKL, Trojan.Spybot-123, W32.Spybot.UBH, W32.Spybot.Worm, W32/Ircbot.R, W32/Mytob.IT.worm, W32/RBot.AKM-net, W32/RBot.H-bdr, W32/Rbot-AKM, W32/SDBot.H-wm, W32/Sdbot.worm!MS05-039, W32/Spybot.RSZ, Win32.HLLW.MyBot, Win32.Rbot.DFQ, Win32/Rbot, Win32/RBot.DFQ!Worm, Worm/Spybot.267264
Plataforma: Windows 32-bit
Tamaño: 258,048 bytes; 267,264 bytes; 270,336 bytes; 276,480 bytes
Gusano y caballo de Troya de la familia RBot, al que se le ha agregado el exploit de la vulnerabilidad descripta en el boletín MS05-039 de Microsoft:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmEsta vulnerabilidad solo puede ser explotada en equipos con Windows 2000 sin el parche MS05-039 instalado.
Solamente un usuario autenticado podría explotarla de forma remota en equipos con Windows XP y XP SP1.
Los usuarios con Windows XP SP2 y Windows Server 2003, no pueden ser afectados de forma remota, por lo que este gusano no los afecta de forma directa.
En estos sistemas, esta vulnerabilidad solo puede ser explotada de forma local, con la única consecuencia de elevación de privilegios. Sin embargo, Microsoft advierte que puede ser posible que un equipo con XP o Server 2003, pudiera llegar a ser infectado por la interacción local del usuario o por otro malware instalado previamente en el sistema.
Se han reportado numerosas versiones, todas ellas detectadas como variantes del Win32/RBot por NOD32. La mayoría de las mismas han sido simplemente empaquetadas con diferentes compresores de ejecutables.
Como otras versiones de la familia de los BOTS, ciertas funcionalidades solo se activan cuando logra conectarse a un servidor IRC y recibe los comandos correspondientes de un usuario remoto, operando como un BOT de IRC (un programa que actúa ejecutando ciertos comandos automáticamente al recibir la orden).
Entre otros nombres de ejecutables pertenecientes a este troyano, han sido reportados los siguientes:
pnpsrv.exe
winpnp.exe
El código del exploit a la vulnerabilidad MS05-039, es el mismo que está presente en el gusano Zotob, lo que hace pensar se trate del mismo autor.
El mecanismo de propagación es el mismo. Crea un servidor FTP en un puerto determinado (no es el puerto FTP estándar), y busca sistemas vulnerables enviando paquetes SYN por el puerto TCP 445.
Si el ataque tiene éxito (equipos con Windows 2000 sin el parche MS05-039), se produce en el equipo remoto un desbordamiento de búfer en ciertos componentes PnP que permite ejecutar un shell (cmd.exe) en el puerto TCP 8888.
Por este puerto, envía al equipo remoto los comandos para descargarse y ejecutarse a si mismo. Esto lo realiza ejecutando el comando FTP.EXE por el shell abierto antes, con el resultado que el equipo accedido descargue una copia del malware usando el servidor FTP creado antes en el equipo infectado.
Cuando se ejecuta, el troyano puede crear alguno de los siguientes archivos:
c:\windows\system32\pnpsrv.exe
c:\windows\system32\winpnp.exe
Crea las siguientes entradas en el registro de Windows:
HKCU\Software\Microsoft\OLE
Windows PNP Server = [nombre del ejecutable]
HKCU\Software\Microsoft\OLE
Windows PNP Server = [nombre del ejecutable]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows PNP Server = [nombre del ejecutable]
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows PNP Server = [nombre del ejecutable]
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
Windows PNP Server = [nombre del ejecutable]
HKLM\SOFTWARE\Microsoft\Ole
Windows PNP Server = [nombre del ejecutable]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows PNP Server = [nombre del ejecutable]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows PNP Server = [nombre del ejecutable]
Intenta conectarse a un servidor de IRC por el puerto TCP 5232 en el siguiente dominio, para recibir determinados comandos:
l33t.freeshellz.org
Algunas de las instrucciones remotas posibles:
- Abrir una consola de comandos (shell)
- Ataques DoS a blancos específicos
- Buscar otros equipos vulnerables
- Descargar y ejecutar otros programas
- Iniciar el servidor FTP
- Obtener información del sistema infectado
Relacionados:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmAlerta ante exploit para la vulnerabilidad MS05-039
http://www.vsantivirus.com/ms-advisory-899588.htmZotob. Se propaga usando vulnerabilidad MS05-039
http://www.vsantivirus.com/zotob.htmReparación IMPORTANTE:Instalar el siguiente parche si aún no lo ha hecho:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmDeshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusPara borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SYSTEM
\CurrentControlSet
\Control
\Lsa
9. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
11. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
13. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
15. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/rbot-ms05-039.htm
