Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Randex.T

PeligrosidadPeligrosidad media
DañoDañino
PropagaciónPoco extendido

De un vistazo

Nombre común:Randex.T
Nombre técnico:W32/Randex.T.worm
Peligrosidad:Baja
Alias:W32/Sdbot.worm.gen.b, Backdoor.IRCBot.gen, W32/Randbot.worm, W32/Randex.worm.c, W32.Randex.Q, Backdoor.IRC.Tastyred, Gesfm, Piebot
Tipo:Gusano
Efectos:  Se conecta a un servidor IRC para recibir órdenes de control. Se propaga a través de los recursos compartidos de red.

Plataformas que infecta:

Windows 2003/XP/2000/NT/ME/98/95

Detección actualizada:02/01/2004
EstadísticasNo

Descripción Breve 

    

Randex.T es un gusano que se propaga a través de los recursos compartidos de red.

Randex.T se conecta a un servidor IRC y permanece a la espera de recibir órdenes de control. Permite a un hacker llevar a cabo las siguientes acciones, entre otras: buscar en la red otros ordenadores a los que afectar, realizar ataques de tipo DDoS (Denegación de Servicio Distribuida), obtener información sobre el ordenador afectado, y descargar y ejecutar ficheros.

Cuando Randex.T finaliza su ejecución, borra el fichero de Windows NETSTAT.EXE. Este fichero permite comprobar los puertos que están abiertos y las conexiones establecidas en el ordenador.

Síntomas Visibles

    

Randex.T resulta difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que puedan alertar al usuario sobre su presencia.

Detalles técnicos

Efectos

Randex.T produce los siguientes efectos:

  • Se conecta a un servidor IRC para recibir comandos de control.
  • Permite realizar las siguientes acciones:
    - Buscar en la red del ordenador afectado otros equipos a los que afectar.
    - Realizar ataques de tipo DDoS (Denegación de Servicio Distribuida).
    - Obtener información sobre el ordenador afectado: CPU, sistema operativo, conexiones, etc.
    -
    Actualizarse a sí mismo descargándose nuevas versiones.
    - Descargar y ejecutar ficheros.
    - Desinstalar el gusano mediante el fichero REMOVE.BAT, que Randex.T contiene dentro.
  • Cuando se conecta a un canal IRC, muestra el siguiente texto:
    GET A FUCKING LIFE, ASSHOLE.

Metodo de Infección

Randex.T crea los siguientes ficheros en el directorio de sistema de Windows:

  • MUSIRC4.71.EXE, METAROCK-IS-GAY.EXE y METALROCK.EXE. Estos ficheros son copias del gusano.
  • SPREAD.ME. Genera este fichero mientras se está propagando.

Randex.T borra el siguiente fichero:

  • NETSTAT.EXE, en el directorio de sistema de Windows. Este programa permite comprobar los puertos y las conexiones establecidas en el ordenador afectado.

Randex.T crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    "MusIRC (irc.music.com) client" = musirc4.71.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    "MusIRC (irc.music.com) client" = musirc4.71.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    "MeTaLRoCk(irc.music.com) has sex with printers" = metalrock-is-gay.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    ""MeTaLRoCk(irc.music.com) has sex with printers" = metalrock-is-gay.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    "Windows MeTalRoCk service" = metalrock.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    "Windows MeTalRoCk service" = metalrock.exe

    Existen diferentes versiones de este gusano, para crear cualquiera de las entradas descritas anteriormente.
    Con estas entradas, Randex.T consigue ejecutarse cada vez que se inicia Windows.

Método de Propagación

Randex.T se propaga a través de los recursos compartidos de la red, para lo cual realiza el siguiente proceso:

  • En primer lugar, comprueba si el ordenador afectado está conectado a una red.
  • Si es así, el gusano intenta ganar acceso a los recursos compartidos a través de contraseñas típicas o fáciles de adivinar.
  • Si consigue conectarse, el gusano se copia a sí mismo en los siguientes directorios del ordenador al que ha accedido:
    C$\WINNT\SYSTEM32
    ADMIN$\SYSTEM32

  • Para poder ejecutarse, Randex.T utiliza la función API NetScheduleJobAdd, con la que generar tareas programadas. Sin embargo, esta función solo se produce en ordenadores con Windows XP/2000/NT; por ello, en ordenadores con Windows Me/98/95, el gusano no se activará a menos que el usuario lo ejecute.

Otros Detalles

Randex.T está escrito en el lenguaje de programación Visual C++ v6. El gusano tiene un tamaño de 65536 Bytes.

Solución

Ver solución