Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Randon es un Virus-Worm distribuido a través de canales IRC y LAN con recursos compartidos.

Cuando se ejecuta este gusano instala sus componentes en el subdirectorio zxz y / o zx en el directorio del sistema de Windows y registra su archivo principal y el cliente mIRC en la clave de ejecución automática del registro de Windows (a continuación):

HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

Randon luego ejecuta la clave anterior y oculta el proceso a través de la utilidad HideWIndows . Randon se conecta al servidor IRC y ejecuta sus scripts. Además de los ataques DDoS y las inundaciones del canal IRC, Randon escanea el puerto 445 de otros clientes de IRC.

Distribución
Tras la detección de un puerto abierto (445), el gusano ejecuta los archivos por lotes sencs.bat e incs.bat que intentan localizar recursos abiertos en la computadora remota y conectarse a ellos mediante una de las siguientes contraseñas:

"admin", "administrator", "root", "admin", "test", "test123", "temp", 
"temp123", "pass", "password", "changeme"

Si una conexión es exitosa, el gusano abre un socket en el puerto 445, transfiere el troyano TrojanDownloader.WIn32.APher.gen y lo ejecuta. Este troyano descarga un archivo autoextraíble de la versión "completa" del gusano desde "www.q8kiss.net" y lo instala en el sistema.

Información Adicional
El gusano Randon consta de los siguientes componentes:

Deta.exe – utilidad HideWindows (archivo exe WIn32)
fControl.a – un script de IRC (escaneo de puertos e infecciones de computadoras remotas)
IfCOntrol.a – una secuencia de comandos IRC (Inundación de canales IRC y ataques DDoS (haciendo ping a diferentes direcciones))
incs.bat – archivo BATCH (lan cracker de contraseñas de recursos)
Libparse.exe es la utilidad "PrcView" (archivo EXE Win32)
psexec.exe es la utilidad "PsExec" (archivo EXE Win32)
rcfg.ini – Archivo IRC INI (cargando otros scripts)
rconnect.conf – archivo de configuración
reader.w – lista de apodos utilizados por el gusano para establecer la conexión con los canales IRC
Sa.exe – TrojanDOwnloader.Win32.Apher
scontrol.a – script de IRC auxiliar.
sencs.bat – archivo BAT (este archivo se transfiere a la computadora remota para realizar la ejecución de TrojanDownloader)
systrey.exe – cliente mIRC renombrado (archivo EXE Wind32).

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Net-Worm
Plataforma	Win32
Descripción	Detalles técnicos Randon es un Virus-Worm distribuido a través de canales IRC y LAN con recursos compartidos. Cuando se ejecuta este gusano instala sus componentes en el subdirectorio zxz y / o zx en el directorio del sistema de Windows y registra su archivo principal y el cliente mIRC en la clave de ejecución automática del registro de Windows (a continuación): HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins Randon luego ejecuta la clave anterior y oculta el proceso a través de la utilidad HideWIndows . Randon se conecta al servidor IRC y ejecuta sus scripts. Además de los ataques DDoS y las inundaciones del canal IRC, Randon escanea el puerto 445 de otros clientes de IRC. Distribución Tras la detección de un puerto abierto (445), el gusano ejecuta los archivos por lotes sencs.bat e incs.bat que intentan localizar recursos abiertos en la computadora remota y conectarse a ellos mediante una de las siguientes contraseñas: "admin", "administrator", "root", "admin", "test", "test123", "temp", "temp123", "pass", "password", "changeme" Si una conexión es exitosa, el gusano abre un socket en el puerto 445, transfiere el troyano TrojanDownloader.WIn32.APher.gen y lo ejecuta. Este troyano descarga un archivo autoextraíble de la versión "completa" del gusano desde "www.q8kiss.net" y lo instala en el sistema. Información Adicional El gusano Randon consta de los siguientes componentes: Deta.exe – utilidad HideWindows (archivo exe WIn32) fControl.a – un script de IRC (escaneo de puertos e infecciones de computadoras remotas) IfCOntrol.a – una secuencia de comandos IRC (Inundación de canales IRC y ataques DDoS (haciendo ping a diferentes direcciones)) incs.bat – archivo BATCH (lan cracker de contraseñas de recursos) Libparse.exe es la utilidad "PrcView" (archivo EXE Win32) psexec.exe es la utilidad "PsExec" (archivo EXE Win32) rcfg.ini – Archivo IRC INI (cargando otros scripts) rconnect.conf – archivo de configuración reader.w – lista de apodos utilizados por el gusano para establecer la conexión con los canales IRC Sa.exe – TrojanDOwnloader.Win32.Apher scontrol.a – script de IRC auxiliar. sencs.bat – archivo BAT (este archivo se transfiere a la computadora remota para realizar la ejecución de TrojanDownloader) systrey.exe – cliente mIRC renombrado (archivo EXE Wind32).
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Net-Worm.Win32.Randon

Detalles técnicos