Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Oscarbot.KD espera órdenes de control remoto que realizar sobre el ordenador afectado, recibidas a través de IRC.
Metodo de Infección
Oscarbot.KD crea uno de los siguientes archivos en el directorio de sistema de Windows:
- WGAREG.EXE.
- WGAVM.EXE.
Este archivo es una copia del gusano.
Oscarbot.KD crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ software\ microsoft\ ole
enabledcom - HKEY_LOCAL_MACHINE\ system\ currentcontrolset\ control\ lsa
restrictanonymoussam - HKEY_LOCAL_MACHINE\ system\ currentcontrolset\ control\ lsa
restrictanonymous - HKEY_LOCAL_MACHINE\ system\ currentcontrolset\ services\ lanmanserver\ parameters
autoshareserver - HKEY_LOCAL_MACHINE\ software\ microsoft\ security center
antivirusdisablenotify - HKEY_LOCAL_MACHINE\ software\ microsoft\ security center
antivirusoverride - HKEY_LOCAL_MACHINE\ software\ microsoft\ security center
firewalldisablenotify - HKEY_LOCAL_MACHINE\ software\ microsoft\ security center
firewalldisableoverride - HKEY_LOCAL_MACHINE\ software\ policies\ microsoft\ windowsfirewall\ domainprofile
enablefirewall - HKEY_LOCAL_MACHINE\ software\ policies\ microsoft\ windowsfirewall\ standardprofile
enablefirewall
Mediante estas entradas, Oscarbot.KD desactiva el cortafuegos y el Centro de Seguridad de Windows XP.
Método de Propagación
Oscarbot.KD se propaga a través de vulnerabilidades, de programas de mensajería instantánea y de recursos compartidos de red.
1.- Propagación mediante la explotación de vulnerabilidades remotas.
Oscarbot.KD realiza el siguiente proceso:
- Se propaga atacando direcciones IP, obtenidas aleatoriamente o de la red a la que pertenece el ordenador afectado.
- Intenta acceder a las direcciones IP atacadas aprovechando la vulnerabilidad descrita en el boletín de seguridad MS06-040.
- Si tiene éxito, descarga en el ordenador atacado una copia de sí mismo.
2.- Propagación a través de programas de mensajería instantánea.
Oscarbot.KD realiza el siguiente proceso:
- El usuario recibe un mensaje a través de su programa de mensajería instantánea.
- Dicho mensaje incluye un archivo, o un enlace a un archivo alojado en una página web, etc.
- El ordenador queda afectado cuando el usuario ejecuta el archivo.
- Oscarbot.KD envía una copia de sí mismo a todos los usuarios que encuentre en la Lista de Contactos del programa de mensajería instantánea.
3.- Propagación a través de recursos compartidos de red.
Oscarbot.KD comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas.
Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Otros Detalles
Oscarbot.KD está escrito en lenguaje Ensamblador. Este gusano tiene un tamaño de 9609 Bytes cuando está comprimido en MEW, y de 42 KBytes una vez descomprimido. Su código está cifrado mediante una máscara XOR de longitud 1 Byte.