• 14/12/2025
ALERTA

Randex, un gusano que se expande a través de los recursos compartidos de la red

Cuando este virus infecta un equipo crea una serie de entradas en el registro de Windows que alteran el funcionamiento normal del sistema. También puede inhabilitar ciertos programas de seguridad antivirus, y aprovecha las funciones de puerta trasera. Precauciones para tener en cuenta
iProfesional | Actualidad |
Por iProfesional
28/05/2004 - 03:00hs
Randex, un gusano que se expande a través de los recursos compartidos de la red

WORM_RANDEX.AK es un gusano residente en memoria que se disemina a través de los recursos compartidos de una red, abre puertos y se conecta a un servidor de Internet Relay Chat (IRC) en espera de comandos remotos.

Una vez que ha tomado el control de un sistema infectado, el usuario malicioso está en posibilidad de descargar y ejecutar archivos, obtener información del sistema, como las claves de uso de ciertos juegos de computadora, así­ como redirigir conexiones, tomar imágenes de la pantalla y lanzar ataques de negación del servicio. Actualmente se propaga libremente y corre en sistemas con Windows 95, 98, ME, NT, 2000, y XP.

Detalles:

Al infectar un sistema, RANDEX.AK crea una serie de entradas en el registro de Windows que afectan y modifican el funcionamiento normal del sistema. Una de ellas le permite ejecutarse en cada inicio Windows y la segunda le permite iniciarse como un proceso de servicio en computadoras que corren Windows 2000, NT y XP.

Otros cambios en el registro inhabilitan ciertos programas de seguridad antivirus y el editor del propio registro:

Los procesos afectados son los siguientes:

AVPCC.EXE

CFGWIZ.EXE

NAVAPW32.EXE

NETSTAT.EXE

OGRC.EXE

PCCCLIENT.EXE

PCCGUIDE.EXE

REGEDIT.EXE

TDS-3.EXE

THGUARD.EXE


Para propagarse, RANDEX.AK rastrea las carpetas compartidas del sistema, a través del las funciones NetBEUI, mediante las cuales obtiene las listas de los usuarios de la red y sus contraseñas. Hecho esto, busca y enlista las carpetas compartidas y deposita en ellas una copia de sí­ mismo. Además, programado en el código del gusano viene una larga lista de contraseñas posibles que utiliza también para intentar acceder a los recursos compartidos.

Funciones de puerta trasera
Una vez activo en una computadora, este gusano se conecta a un servidor de IRC y a un canal especí­fico, desde donde un usuario malicioso puede enviar comandos remotos y tomar control absoluto de la computadora. Ahí­, el intruso puede realizar las siguientes actividades:

Agregar o quitar los recursos compartidos de la red.

Cambiarse de servidor y canal de IRC.

Descargar y ejecutar archivos.

Emular un servidor http.

Habilitar el protocolo DCOM, que permite comunicación de aplicaciones en redes.

Obtener información del sistema, tal como Velocidad del CPU, Memoria libre, Tiempo de actividad, Espacio libre en disco.

Listar y terminar servicios y procesos

Redireccionar conexiones

Rastrear una red local en busca de puertos abiertos

Enviar correos electrónicos ví­a SMTP

Tomar imágenes de la pantalla.


Este gusano está programado también para robar claves de populares juegos de computadora incluyendo entre ellos "Call of Duty", "Halflife", y "Neverwinter".

Igualmente, el gusano permite al intruso emprender ataques de negación distribuida de servicios (DDos) contra una ví­ctima, a través de los siguientes procedimientos:

Ping flood SYN flood UPD flood

Fuente: Trend Micro