Gusano: W32/RBOT-WT

W32/Rbot.WT, es un gusano residente en memoria tiene característica de troyano backdoor, se difunde a través de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a través del IRC.

El gusano también se aprovecha de las siguientes vulnerabilidades:
Vulnerabilidad LSASS Buffer Overrun, descrito en el boletín de seguridad MS04-011 de Microsoft
Vulnerabilidad RPC/DCOM descrita en el boletín de seguridad MS04-012 de Microsoft
Se aprovecha de passwords fáciles en servidores Microsoft SQL

Cuando el gusano se ejecuta se copia a si mismo como:

%system%\dynitora.exe

Nota:

%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además modifica las siguientes entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Dynamic Dns Binary"="%system%\dynitora.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

"Dynamic Dns Binary"="%system%\dynitora.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Dynamic Dns Binary"="%system%\dynitora.exe"

También deshabilita el DCOM y cierra restricciones en el IPC$ compartido.

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

"EnableDCOM"="N"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

"restrictanonymous"="1"

El gusano se difunde a través de recursos compartidos, utilizando una relación de usuarios y passwords, Si el gusano logra accesar se copiará y ejecutará a si mismo en el sistema atacado.

Seguidamente el gusano intentará establecer comunicación con un determinado servidor IRC, si logra conectarse queda a la espera de recibir ordenes remotas del atacante