ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.Randon

Clase Net-Worm
Plataforma Win32
Descripción

Detalles técnicos

Randon es un Virus-Worm distribuido a través de canales IRC y LAN con recursos compartidos.

Cuando se ejecuta este gusano instala sus componentes en el subdirectorio zxz y / o zx en el directorio del sistema de Windows y registra su archivo principal y el cliente mIRC en la clave de ejecución automática del registro de Windows (a continuación):

HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

Randon luego ejecuta la clave anterior y oculta el proceso a través de la utilidad HideWIndows . Randon se conecta al servidor IRC y ejecuta sus scripts. Además de los ataques DDoS y las inundaciones del canal IRC, Randon escanea el puerto 445 de otros clientes de IRC.

Distribución
Tras la detección de un puerto abierto (445), el gusano ejecuta los archivos por lotes sencs.bat e incs.bat que intentan localizar recursos abiertos en la computadora remota y conectarse a ellos mediante una de las siguientes contraseñas:

"admin", "administrator", "root", "admin", "test", "test123", "temp", 
"temp123", "pass", "password", "changeme"  
 

Si una conexión es exitosa, el gusano abre un socket en el puerto 445, transfiere el troyano TrojanDownloader.WIn32.APher.gen y lo ejecuta. Este troyano descarga un archivo autoextraíble de la versión "completa" del gusano desde "www.q8kiss.net" y lo instala en el sistema.

Información Adicional
El gusano Randon consta de los siguientes componentes:

Deta.exe – utilidad HideWindows (archivo exe WIn32)
fControl.a – un script de IRC (escaneo de puertos e infecciones de computadoras remotas)
IfCOntrol.a – una secuencia de comandos IRC (Inundación de canales IRC y ataques DDoS (haciendo ping a diferentes direcciones))
incs.bat – archivo BATCH (lan cracker de contraseñas de recursos)
Libparse.exe es la utilidad "PrcView" (archivo EXE Win32)
psexec.exe es la utilidad "PsExec" (archivo EXE Win32)
rcfg.ini – Archivo IRC INI (cargando otros scripts)
rconnect.conf – archivo de configuración
reader.w – lista de apodos utilizados por el gusano para establecer la conexión con los canales IRC
Sa.exe – TrojanDOwnloader.Win32.Apher
scontrol.a – script de IRC auxiliar.
sencs.bat – archivo BAT (este archivo se transfiere a la computadora remota para realizar la ejecución de TrojanDownloader)
systrey.exe – cliente mIRC renombrado (archivo EXE Wind32).


Enlace al original