Raleka: destructivo gusano/troyano/backdoor aprovechando la vulnerabilidad de RPC/DCOM

Agosto 28, 03 by admin

Raleka es un destructivo gusano troyano/backdoor que aprovecha la vulnerabilidad del DCOM RPC (Llamada Remota de Procedimientos).
Infecta los sistemas con un archivo de nombre aleatorio, con extensión .EXE de 14.5 KB de extensión, haciendo uso de direcciones IP aleatorias a través del puerto TCP 135.

Descarga un peligroso troyano de ocultamiento de actividades, comandos, servicios, etc., y que permite insertar cualquier software backdoor de control remoto a los sistemas infectados.

Una vez ingresado al sistema el gusano se auto-ejecuta y descarga a la carpeta %System% desde la dirección IP 212.59.199.45 (http://www.arrakis.es) los siguientes archivos:

NTROOTKIT.EXE (125 KB)
NTROOTKIT.REG (245 bytes)
El NTRootkit versión 0.44 es una herramienta de software que en forma remota permite insertar backdoors en programas existentes dentro de un sistema, ocultando además las instrucciones o comandos en los equipos que son atacados por intrusos.

Este gusano además usa su propia rutina para conectarse un canal de Chat del servidor IRC (Internet Chat Relay) IRCSOULZ.NET:6667.

Asimismo el gusano sobre-escribirá el archivo SVCHOST.EXE dentro de la carpeta %System% y ejecutará un comando para descargar los archivos del NTRootkit desde otros sistemas infectados, en lugar de los de la dirección IP antes mencionada.

Con esta peligrosa herramienta, el cracker podrá insertar backdoors que le permitirán controlar remotamente servidores, redes con recursos compartidos, estaciones de trabajo y hasta PC domésticas a su entera voluntad.

El gusano infectará equipos remotos que no tengan instalado el parche para la vulnerabilidad DCOM RPC (Remote Procedure Call), conectándose al puerto TCP 135 de las direcciones IP generadas aleatoriamente desde el sistema infectado.

Finalmente, almacenará la dirección IP del equipo infectado en la carpeta %System% con el siguiente nombre de archivo:

RPCSS.INI

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Los payloads de este troyano/backdoor son los siguientes:

- Ingresa a través del puerto 135 aprovechando la vulnerabilidad RPC de Microsoft.
- Descarga un troyano de ocultamiento de actividades, comandos, servicios, etc.
- Este troyano permite insertar cualquier software backdoor a los sistemas infectados.
- Captura información de la configuración del servidor y de las estaciones de trabajo.
- Hace uso de todos los privilegios del Administrador de Red.
- Envía la información al hacker a través de un canal de Chat de un servidor IRC pre-determinado.
- Puede enviar/recibir comandos a través del Chat.
- Captura teclas digitadas por el usuario.
- Roba claves de acceso.
- Controla remotamente programas de los sistemas infectados.
- Borra archivos y formatea el disco duro.
- Puede ocasionar una Negación de Servicio (Denial of Service) colapsando al sistema.

Add your comment

One response for this post

  1. Fernando Ortega Says: 28.08.03 at 13:37

    Olvidé la referencia de la noticia original:

    http://www.perantivirus.com/sosvirus/virufamo/raleka.htm

Leave a Reply