Randex.T

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Randex.T
Peligrosidad Daño Propagación

Efectos

Randex.T produce los siguientes efectos:

Se conecta a un servidor IRC para recibir comandos de control.
Permite realizar las siguientes acciones:
- Buscar en la red del ordenador afectado otros equipos a los que afectar.
- Realizar ataques de tipo DDoS (Denegación de Servicio Distribuida).
- Obtener información sobre el ordenador afectado: CPU, sistema operativo, conexiones, etc.
- Actualizarse a sí mismo descargándose nuevas versiones.
- Descargar y ejecutar ficheros.
- Desinstalar el gusano mediante el fichero REMOVE.BAT, que Randex.T contiene dentro.
Cuando se conecta a un canal IRC, muestra el siguiente texto:
GET A FUCKING LIFE, ASSHOLE.

Randex.T crea los siguientes ficheros en el directorio de sistema de Windows:

MUSIRC4.71.EXE, METAROCK-IS-GAY.EXE y METALROCK.EXE. Estos ficheros son copias del gusano.
SPREAD.ME. Genera este fichero mientras se está propagando.

Randex.T borra el siguiente fichero:

NETSTAT.EXE, en el directorio de sistema de Windows. Este programa permite comprobar los puertos y las conexiones establecidas en el ordenador afectado.

Randex.T crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"MusIRC (irc.music.com) client" = musirc4.71.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
"MusIRC (irc.music.com) client" = musirc4.71.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"MeTaLRoCk(irc.music.com) has sex with printers" = metalrock-is-gay.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
""MeTaLRoCk(irc.music.com) has sex with printers" = metalrock-is-gay.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"Windows MeTalRoCk service" = metalrock.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
"Windows MeTalRoCk service" = metalrock.exe
Existen diferentes versiones de este gusano, para crear cualquiera de las entradas descritas anteriormente.
Con estas entradas, Randex.T consigue ejecutarse cada vez que se inicia Windows.

Randex.T se propaga a través de los recursos compartidos de la red, para lo cual realiza el siguiente proceso:

En primer lugar, comprueba si el ordenador afectado está conectado a una red.
Si es así, el gusano intenta ganar acceso a los recursos compartidos a través de contraseñas típicas o fáciles de adivinar.
Si consigue conectarse, el gusano se copia a sí mismo en los siguientes directorios del ordenador al que ha accedido:
C$\WINNT\SYSTEM32
ADMIN$\SYSTEM32

Para poder ejecutarse, Randex.T utiliza la función API NetScheduleJobAdd, con la que generar tareas programadas. Sin embargo, esta función solo se produce en ordenadores con Windows XP/2000/NT; por ello, en ordenadores con Windows Me/98/95, el gusano no se activará a menos que el usuario lo ejecute.

Randex.T está escrito en el lenguaje de programación Visual C++ v6. El gusano tiene un tamaño de 65536 Bytes.