Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Randex.T | |
Peligrosidad Daño Propagación |
De un vistazo
| |
Nombre común: | Randex.T |
Nombre técnico: | W32/Randex.T.worm |
Peligrosidad: | Baja |
Alias: | W32/Sdbot.worm.gen.b, Backdoor.IRCBot.gen, W32/Randbot.worm, W32/Randex.worm.c, W32.Randex.Q, Backdoor.IRC.Tastyred, Gesfm, Piebot |
Tipo: | Gusano |
Efectos: | Se conecta a un servidor IRC para recibir órdenes de control. Se propaga a través de los recursos compartidos de red. |
Plataformas que infecta: |
Windows 2003/XP/2000/NT/ME/98/95 |
Detección actualizada: | 02/01/2004 |
Estadísticas | No |
Descripción Breve | |
Randex.T es un gusano que se propaga a través de los recursos compartidos de red. Randex.T se conecta a un servidor IRC y permanece a la espera de recibir órdenes de control. Permite a un hacker llevar a cabo las siguientes acciones, entre otras: buscar en la red otros ordenadores a los que afectar, realizar ataques de tipo DDoS (Denegación de Servicio Distribuida), obtener información sobre el ordenador afectado, y descargar y ejecutar ficheros. Cuando Randex.T finaliza su ejecución, borra el fichero de Windows NETSTAT.EXE. Este fichero permite comprobar los puertos que están abiertos y las conexiones establecidas en el ordenador. |
Síntomas Visibles | |
Randex.T resulta difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que puedan alertar al usuario sobre su presencia. |
Detalles técnicos
Efectos |
Randex.T produce los siguientes efectos: - Se conecta a un servidor IRC para recibir comandos de control.
Permite realizar las siguientes acciones: - Buscar en la red del ordenador afectado otros equipos a los que afectar. - Realizar ataques de tipo DDoS (Denegación de Servicio Distribuida). - Obtener información sobre el ordenador afectado: CPU, sistema operativo, conexiones, etc. - Actualizarse a sí mismo descargándose nuevas versiones. - Descargar y ejecutar ficheros. - Desinstalar el gusano mediante el fichero REMOVE.BAT, que Randex.T contiene dentro. Cuando se conecta a un canal IRC, muestra el siguiente texto: GET A FUCKING LIFE, ASSHOLE.
|
Metodo de Infección
Randex.T crea los siguientes ficheros en el directorio de sistema de Windows:
MUSIRC4.71.EXE, METAROCK-IS-GAY.EXE y METALROCK.EXE. Estos ficheros son copias del gusano.
SPREAD.ME. Genera este fichero mientras se está propagando.
Randex.T borra el siguiente fichero:
Randex.T crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"MusIRC (irc.music.com) client" = musirc4.71.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
"MusIRC (irc.music.com) client" = musirc4.71.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"MeTaLRoCk(irc.music.com) has sex with printers" = metalrock-is-gay.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
""MeTaLRoCk(irc.music.com) has sex with printers" = metalrock-is-gay.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"Windows MeTalRoCk service" = metalrock.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
"Windows MeTalRoCk service" = metalrock.exe
Existen diferentes versiones de este gusano, para crear cualquiera de las entradas descritas anteriormente.
Con estas entradas, Randex.T consigue ejecutarse cada vez que se inicia Windows.
Método de Propagación
Randex.T se propaga a través de los recursos compartidos de la red, para lo cual realiza el siguiente proceso:
- En primer lugar, comprueba si el ordenador afectado está conectado a una red.
- Si es así, el gusano intenta ganar acceso a los recursos compartidos a través de contraseñas típicas o fáciles de adivinar.
- Si consigue conectarse, el gusano se copia a sí mismo en los siguientes directorios del ordenador al que ha accedido:
C$\WINNT\SYSTEM32
ADMIN$\SYSTEM32
- Para poder ejecutarse, Randex.T utiliza la función API NetScheduleJobAdd, con la que generar tareas programadas. Sin embargo, esta función solo se produce en ordenadores con Windows XP/2000/NT; por ello, en ordenadores con Windows Me/98/95, el gusano no se activará a menos que el usuario lo ejecute.
Otros Detalles
Randex.T está escrito en el lenguaje de programación Visual C++ v6. El gusano tiene un tamaño de 65536 Bytes.