W32/Chaim.B

W32/Chaim.B, es un gusano que se difunde a través de recursos compartidos y aprovechándose de la Vulnerabilidad de Microsoft Windows DCOM RPC, descrito en el boletín de seguridad MS03-026

Cuando el gusano se ejecuta se copia a si mismo dentro de:

• %system%\itunesmm.exe

Nota:

%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además modifica algunas entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

"iTunes Music Mediam"="itunesmm.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"iTunes Music Mediam"="itunesmm.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

"iTunes Music Mediam"="itunesmm.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"iTunes Music Mediam"="itunesmm.exe"

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa

"iTunes Music Mediam"="itunesmm.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

"iTunes Music Mediam"="itunesmm.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

"iTunes Music Mediam"="itunesmm.exe"

Finalmente abre el puerto TCP 18938 en el computador atacado e intenta conectarse con un determinado servidor IRC [81.246.22.242], si logra conectarse queda a la espera de recibir ordenes remotas, las ordenes podrían realizar las siguientes acciones:

• Descargar y ejecutar archivos.
• Detener, listar e iniciar procesos
• Realizar ataques de Denegación de Servicio (DoS), ACK, SYN, UDP, y ICMP
• Iniciar un Servidor HTTP, FTP, or TFTP local.
• Buscar archivos en el computador atacado.
• Buscar Computadores Vulnerables en la red local
• Reiniciar el computador atacado
• Capturar pulsaciones de teclado.
• Iniciar un Servidor Proxy SOCKSv4
• Enviar mensajes a todos los usuarios del Messenger AOL, con un enlace para descargar al gusano.

Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú