x
OFERTA 48H
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA ESPECIAL
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA HALLOWEEN
Aprovéchate de unos
descuentos de miedo
COMPRA HOY AL 50%
x
OFERTA NAVIDAD
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 40%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA BLACKFRIDAY
Compra el mejor antivirus
al mejor precio
SOLO HOY HASTA -70%
x
OFERTA CYBERMONDAY
Compra el mejor antivirus
al mejor precio
(Solo para particulares)
SOLO HOY HASTA -70%
Active Scan. Analiza Gratis tu PC
Panda Protection

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Randex.T

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Randex.T produce los siguientes efectos:

  • Se conecta a un servidor IRC para recibir comandos de control.
  • Permite realizar las siguientes acciones:
    - Buscar en la red del ordenador afectado otros equipos a los que afectar.
    - Realizar ataques de tipo DDoS (Denegación de Servicio Distribuida).
    - Obtener información sobre el ordenador afectado: CPU, sistema operativo, conexiones, etc.
    -
    Actualizarse a sí mismo descargándose nuevas versiones.
    - Descargar y ejecutar ficheros.
    - Desinstalar el gusano mediante el fichero REMOVE.BAT, que Randex.T contiene dentro.
  • Cuando se conecta a un canal IRC, muestra el siguiente texto:
    GET A FUCKING LIFE, ASSHOLE.

Metodo de Infección 

Randex.T crea los siguientes ficheros en el directorio de sistema de Windows:

  • MUSIRC4.71.EXE, METAROCK-IS-GAY.EXE y METALROCK.EXE. Estos ficheros son copias del gusano.
  • SPREAD.ME. Genera este fichero mientras se está propagando.

Randex.T borra el siguiente fichero:

  • NETSTAT.EXE, en el directorio de sistema de Windows. Este programa permite comprobar los puertos y las conexiones establecidas en el ordenador afectado.

Randex.T crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    "MusIRC (irc.music.com) client" = musirc4.71.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    "MusIRC (irc.music.com) client" = musirc4.71.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    "MeTaLRoCk(irc.music.com) has sex with printers" = metalrock-is-gay.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    ""MeTaLRoCk(irc.music.com) has sex with printers" = metalrock-is-gay.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    "Windows MeTalRoCk service" = metalrock.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    "Windows MeTalRoCk service" = metalrock.exe

    Existen diferentes versiones de este gusano, para crear cualquiera de las entradas descritas anteriormente.
    Con estas entradas, Randex.T consigue ejecutarse cada vez que se inicia Windows.

Método de Propagación 

Randex.T se propaga a través de los recursos compartidos de la red, para lo cual realiza el siguiente proceso:

  • En primer lugar, comprueba si el ordenador afectado está conectado a una red.
  • Si es así, el gusano intenta ganar acceso a los recursos compartidos a través de contraseñas típicas o fáciles de adivinar.
  • Si consigue conectarse, el gusano se copia a sí mismo en los siguientes directorios del ordenador al que ha accedido:
    C$\WINNT\SYSTEM32
    ADMIN$\SYSTEM32

  • Para poder ejecutarse, Randex.T utiliza la función API NetScheduleJobAdd, con la que generar tareas programadas. Sin embargo, esta función solo se produce en ordenadores con Windows XP/2000/NT; por ello, en ordenadores con Windows Me/98/95, el gusano no se activará a menos que el usuario lo ejecute.

Otros Detalles  

Randex.T está escrito en el lenguaje de programación Visual C++ v6. El gusano tiene un tamaño de 65536 Bytes.