NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Gusano de acceso remoto que propaga por comparticiones administrativas de sistemas Windows

 

Nombre de virus: W32/Warpi.worm.b
Alias conocidos: W32.HLLW.Warpigs.b
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por comparticiones administrativas de sistemas remotos.
Activación: Por ejecución remota del gusano
Detección: desde DATS 4277
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata a la vez de un bot de IRC y de un gusano de comparticiones de red. Está basado en el troyano IRC-Sdbot. Mediante un ataque basado en diccionario, el gusano intenta obtener acceso a la compartición ADMIN$ de sistemas remotos, para realizar una copia de sí mismo y ejecutarse. El gusano contiene una lista de contraseñas simples para intentar autenticarse en sistemas remotos; sin embargo las credenciales del usuario que esté logado al sistema pueden ser suficientes para que el gusano funcione sin necesidad de contraseña.

Una vez se ejecuta, realiza una copia de sí mismo al directorio Windows System (%SysDir%) como winupdate.exe, y crea una clave run en el registro para cargarse al inicio del sistema:

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Runonce "windowsupdate" = winupdate.exe

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windowsupdate" = winupdate.exe

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon "Shell" = explorer.exe winupdate.exe


En sistemas Win9x, esta última clave reside en el fichero SYSTEM.INI, en lugar del registro. También se crea una clave adicional

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsupdate "windowupdate"

 

El gusano se conecta al servidor IRC irc.x.lu.tc, se loga en un canal especificado, y espera instrucciones. Los usuarios remotos pueden dar instrucciones al bot para realizar las siguientes funciones:

 

· Descargar información del sistema: CPU, RAM, Espacio en Disco, Tiempo de Conexión, Nombre de usuario, Nombre del host

· Listar y finalizar procesos en ejecución

· Descargar passwords en caché

· Reiniciar el sistema

· Descargar y ejecutar ficheros

· Listar/borrar/renombrar ficheros

· Crear directorios

· Iniciar un ataque de Denegación de Servicios

· Actualizar el bot (descarga actualización desde update.x.lu.tc)


Síntomas

- Presencia de los ficheros windowsupdate.exe y pgonwe.exe

- Tráfico inesperado en el puerto TCP 6667

 

Método de Infección

Este gusano se propaga a través de la compartición administrativa por defecto ADMIN$. Intenta una larga lista de contraseñas simples para obtener acceso:

 

· 0

· 00

· 000

· 0000

· 00000

· 000000

· 007

· 0wn3d

· 0wned

· 1

· 110

· 111

· 111111

· 11111111

· 12

· 121212

· 123

· 123123

· 1234

· 12345

· 123456

· 1234567

· 12345678

· 123456789

· 1234qwer

· 123abc

· 123asd

· 123qwe

· 2002

· 2003

· 2600

· 54321

· 654321

· 88888888

· a

· aaa

· abc

· abc123

· abcd

· ACCESS

· ADMIN

· admin

· admin123

· Administrador

· administrador

· administrator

· Administrator

· ADMINISTRATOR

· alpha

· asdf

· BACKUP

· bla

· BOTH

· Changeme

· changeme

· computer

· crash

· database

· death

· DEMO

· devil

· edu

· enable

· FILES

· foobar

· fubar

· fu--ed (censored)

· FULL

· gobo

· god

· godblessyou

· guessme

· GUEST

· hacker

· hax0r

· heaven

· home

· ihavenopass

· Internet

· irule

· kiddie

· killer

· l337

· l33t

· leet

· linux

· LOCAL

· login

· love

· Mat

· Matt

· Matthew

· mirc

· mypass

· mypass123

· mypc

· mypc123

· mysqladmin

· netdevil

· net-devil

· netfuck

· Nilez

· oracle

· owned

· Owner

· OWNER

· pass

· passwd

· PASSWORD

· pat

· patrick

· pc

· pepsi

· pw

· pw123

· pwd

· qwer

· READ

· root

· ROOT

· satan

· satanic

· satanik

· script

· scriptkiddie

· secret

· SERVER

· server

· sex

· SHARE

· spaceman

· sql

· sqladmin

· super

· sybase

· SYSTEM

· TEMP

· temp123

· TEST

· test123

· testing

· unix

· USER

· uwontguessme

· w00t

· win

· WRITE

· x

· xp

· xx

· xxx

· xxxx

· xxxxx

· xxxxxx

· xxxxxxx

· xxxxxxxx

· xxxxxxxxx

· youwontguessme

· yxcv

· zxcv

 


En el sistema remoto realiza una copia de sí mismo, y genera un fichero pgonwe.exe (RemoteProcessLaunch application) que utiliza para ejecutar remotamente el fichero. El gusano también puede programar una tarea para que se ejecute en el sistema remoto.

Detección y eliminación
El gusano se controla desde los DAT 4277 , para eliminar el gusano y corregir registro de sistema, ejecutar nuestra utilidad ELIWARPA

 

SATINFO, VIRUSCAN SPAIN SERVICE 17 de Julio de 2003

Anterior