W32/IRCbot.SN

IRCBOT.SN gusano/backdoor de IRC HTTP y redes con recursos compartidos controla en forma remota, etc.

IRC

W32/IRCbot.SN

IRCbot.SN es un gusano/backdoor residente en memoria reportado el 28 de Enero del 2008 que se propaga a través del IRC (Internet Chat Relay), redes con recursos compartidos o visitando páginas web con códigos malignos exprofesamente programados.

Usando puertos TCP aleatorios, su componente Backdoor se une a uno de dos canales de Chat, desde donde ejecutará acciones arbitrarias en forma remota.

Es un Portable Ejecutable infecta a Windows 95/98/Me/NT/2000/XP/ y Server 2003, está desarrollado en Assembler con 47KB de extensión y no está encriptado.

Una vez ingresado a un sistema, el gusano se copia a la carpeta %System% con el nombre de w[xx]svc.exe.

[xx] representa a dos caracteres ASCII aleatorios.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Console [Caracteres_aleatorios_de_texto] = "w{xx}svc.exe"

Al siguiente inicio del equipo, haciendo uso de puertos TCP aleatorios, su componente Backdoor se conecta a los canales ##net o ##net-sa de un servidor IRC (Internet Chat Relay) desde los que ejecutará las siguientes acciones:

Descargar, ejecutar archivos con códigos arbitrarios
Terminar procesos en ejecución
Desestabilizar la seguridad del sistema
Activar un servidor FTP y/o HTTP
Unirse o salir de otros canales de Chat
Ejecutar ataques de Denegación de Servicios (DoS) a redes con recursos compartidos
Controlar el sistema en forma remota

PER ANTIVIRUS® versiones 10.3 y X4 con registro de virus al 28 de Enero del 2008 detectan y eliminan este gusano/backdoor.