Efectos Rinbot.B realiza las siguientes acciones: - Se conecta a un servidor IRC para recibir comandos de control remoto, que permiten a su autor obtener el control total del ordenador afectado.
- Descarga el troyano detectado como Spammer.ZV en el ordenador afectado desde la página web:
http://217.6<bloqueado>12/phpbb/uploads
Metodo de Infección Rinbot.B crea los siguientes archivos: - ECLIPSE.EXE, en el directorio de sistema de Windows. Este archivo es una copia del gusano.
- LSAASVR.EXE, en el directorio de Windows. Este archivo corresponde a Trj/Spammer.ZV y lo registra como un servicio del sistema denominado LSA Server.
Rinbot.B crea las siguientes entradas en el Registro de Windows: - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Eclipse Environment = %sysdir%\eclipse.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Rinbot.B consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet002\ Enum\ USBSTOR\ Disk&Ven_LG&Prod_X-TICK_2.0&Rev_1.00\ 7&329ea97c&0
Mfg = (Unidades de disco estándar)
Mediante esta entrada, Rinbot.B busca unidades de disco conectadas a través de USB. - HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet002\ Services\ SharedAccess\ Parameters\ E
Mediante esta entrada, Rinbot.B obtiene permisos para copiarse en unidades mapeadas.
Método de Propagación Rinbot.B se propaga a través de Internet, redes de ordenadores, unidades mapeadas y dispositivos de almacenamiento extraíble. 1.- Propagación a través de Internet. Rinbot.B realiza el siguiente proceso: - Genera direcciones IP aleatorias.
- Intenta explotar las vulnerabilidades LSASS y RPC DCOM en los ordenadores remotos.
- Si lo consigue, utiliza un script para transferir una copia de sí mismo al ordenador remoto que ha comprometido.
2.- Propagación mediante redes de ordenadores. - Si el ordenador afectado forma parte de una red, Rinbot.B intenta acceder a los recursos compartidos de red.
- Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
- Si consigue acceder, Rinbot.B realiza copias de sí mismo en dichos recursos compartidos.
3.- Propagación a través de unidades mapeadas. - Rinbot.B comprueba si el ordenador afectado se encuentra conectado a una red.
- En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas.
4.- Propagación a través de dispositivos de almacenamiento extraíble. Rinbot.B crea una copia de sí mismo en los dispositivos de almacenamiento que estén conectados por USB. Otros Detalles Rinbot.B está escrito en el lenguaje de programación Visual C++ v6. Este gusano tiene un tamaño de 212992 Bytes y está comprimido. Además, en el código del gusano aparece una supuesta entrevista de la CNN con el autor de Rinbot.B: - Who are you? - Hacker(s). - Are you actually disgruntled? - No. - Then why are you actively going after Symantec? - The worm is designed for getting the highest yield of computers infected, not to aggravate Symantec; there is no hate. - So why attack the Symantec anti-virus program? - A lot of businesses and universities run the application, making it a prime target for exploitation. - Are you aware that your worm is crippling computer networks? - Yes that can happen on slow networks or networks with many computers; the worm also searches and removes other worms from the system, acting as a small anti-virus program if you will. If you wish not to have those problems keep your software updated. - Why did you taunt Symantec and other security companies? - They were the first to list the worm on their site and try and get servers shut down. - What do you intent to use the infected computers for? - Nothing very malicious; no fraud or anything like that. - What is the real name of the worm and how did you come up with it? - The real name is IrnBot, it is named after a popular soft drink called IrnBru. - Thank you for your time author of Rinbot. You are very welcome CNN, thank you for the opportunity to explain. |