W32/Polybot.l!irc


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Gusano que propaga por comparticiones administrativas y chat (IRC), finaliza proceso del antivirus de la memoria, lleva a cabo un ataque de denegación de servicios y modifica el fichero Hosts del equipo infectado.

Nombre de virus: W32/Polybot.l!irc
Alias conocidos: Backdoor.Agobot.hm, W32.HLLW.Gaobot.gen
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por comparticiones administrativas y chat (IRC)
Activación: Por ejecución remota de fichero ejecutable
Detección: desde DATS 4339
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)

Este virus pertenece a la familia de bots IRC basados en el grupo W32/Gaobot.worm. El gusano presenta las siguientes características:

Se propaga a través de comparticiones

Utiliza técnicas de ocultamiento, y esconde el proceso en memoria. Borra el fichero vírico.

Conecta a servidores IRC para realizar varias funciones

Finaliza servicios de seguridad

Lleva a cabo un ataque de Denegación de Servicios

Modifica el fichero host del sistema infectado

Puede propagar utilizando la vulnerabilidad MS03-026

Propagación por Comparticiones

El gusano intenta propagar a través de las comparticiones administrativas por defecto:

e$

d$

c

print$

c$

admin$

El gusano contiene una lista de combinaciones típicas de nombre de usuario y contraseña intuitivos, por lo que es recomendable evitar proteger las comparticiones mediante contraseñas sencillas.

Componente IRC Bot

El gusano intenta conectar a diferentes servidores IRC remotos, y puede realizar las siguientes acciones:

- conectar a un servidor IRC y participar en un canal
- activar/desactivar proceso DCOM en equipo remoto
- obtener información del sistema
- descargar/subir/ejecutar ficheros en sistema remoto
- el equipo infectado se puede comportar como un servidor FTP
- manipular comparticiones de ficheros del equipo infectado
- crear un shell en el equipo remoto
- actualizarse con una nueva versión del virus
- apagar/reiniciar el equipo
- eliminar un proceso o servicio en el equipo infectado
- redireccionar tráfico de servidor Proxy HTTPS, SOCKS, GRE, TCP
- buscar procesos de W32/Bagle@MM

El gusano también utiliza el componente bot para robar CD keys de los siguientes juegos, incluyendo IDs de producto de Windows:

Unreal Tournament 2003

The Gladiators

Soldiers Of Anarchy

Shogun Total War Warlord Edition

Need For Speed Underground

Need For Speed Hot Pursuit 2

NHL 2003

NHL 2002

Nascar Racing 2003

Nascar Racing 2002

Medal of Honor Allied Assault Spearhead

Medal of Honor Allied Assault Breakthrough

Medal of Honor Allied Assault

James Bond 007 Nightfire

Industry Giant 2

IGI2 Covert Strike

Hidden and Dangerous 2

Half-Life

Gunman Chronicles

Global Operations

Freedom Force

FIFA 2003

FIFA 2002

Counter-Strike

Command and Conquer Tiberian Sun

Command and Conquer Red Alert2

Command and Conquer Generals Zero Hour

Command and Conquer Generals

Black and White

Battlefield 1942 The Road To Rome

Battlefield 1942 Secret Weapons Of WWII

Battlefield 1942

Componente de Denegación de Servicio
El cuerpo del gusano contiene las siguientes URLs. Intenta enviar una serie de paquetes de datos a las mismas en un intento de provocar una saturación. La lista no es exhaustiva.

www.msn.co.jp

yahoo.co.jp

www.nifty.com

www.d1asia.com

www.st.lib.keio.ac.jp

www.lib.nthu.edu.tw

www.above.net

www.level3.com

nitro.ucsc.edu

www.burst.net

www.cogentco.com

www.rit.edu

www.nocster.com

www.verio.com

www.stanford.edu

www.xo.net

de.yahoo.com

www.msn.de

www.switch.ch

www.bitnet.net

verio.fr

www.utwente.nl

www.schlund.net

Componente de Acceso Remoto

El gusano abre puertos aleatorios en el sistema para permtir su acceso remoto.

Síntomas

- El virus oculta todos los ficheros que contienen la palabra "sound" en el equipo infectado.

- Se abren puertos inusuales

- Se añaden las siguientes claves de registro en un sistema infectado:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOUNDMAN

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SoundMan

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOUNDMAN

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SoundMan

- El virus modifica las siguientes claves de registro para provocar la ejecución del gusano al iniciar el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "^`d}qZxu" = ~`d}qzxu3zYF

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "^`d}qZxu" = ~`d}qzxu3zYF

- El gusano intenta finalizar muchos procesos del sistema, de programas antivirus y de seguridad, tales como ZONEALARM.EXE, HIJACKTHIS.EXE, _AVPM.EXE, VSSTAT.EXE, SCAN32.EXE, SVCHOSTS.EXE, REGEDIT.EXE, etc..

Método de infección

El gusano propaga a través de comparticiones abiertas e intenta adivinar el login ID y password de comparticiones protegidas por contraseña.

También propaga a través de canales IRC.

El virus sobreescribe el fichero hosts para redirigir las siguientes URLs a la dirección IP 127.0.0.1. Esto evitará que los usuarios accedan a estas webs para descargar actualizaciones del antivirus.

localhost

www.symantec.com

securityresponse.symantec.com

symantec.com

www.sophos.com

sophos.com

www.mcafee.com

mcafee.com

liveupdate.symantecliveupdate.com

www.viruslist.com

viruslist.com

viruslist.com

f-secure.com

www.f-secure.com

kaspersky.com

www.avp.com

www.kaspersky.com

avp.com

www.networkassociates.com

networkassociates.com

www.ca.com

ca.com

mast.mcafee.com

my-etrust.com

www.my-etrust.com

download.mcafee.com

dispatch.mcafee.com

secure.nai.com

nai.com

www.nai.com

update.symantec.com

updates.symantec.com

us.mcafee.com

liveupdate.symantec.com

customer.symantec.com

rads.mcafee.com

trendmicro.com

www.trendmicro.com

Detección y eliminación

El gusano se controla desde los DAT 4339 , para su eliminación se recomienda ejecutar nuestra utilidad ELIRPCA.

SATINFO, VIRUSCAN SPAIN SERVICE 18 de Marzo de 2004