KerBOT es un gusano/exploit residente en memoria, reportado el 05 de Noviembre del 2008, propagado al visitar páginas acondicionadas o al ser descargado conjuntamente con otros malwares. Se ha detectado el siguiente enlace:

http://www.healthmart.com/download/6767.exe

Descarga malwares, modifica el archivo HOSTS y borra llaves de registo. Explota la vulnerabilidad del Servicio de Servidor (MS08-067) que permite la ejecución remota de códigos arbitrarios, en forma remota.

Impide al acceso a sitios web relacionados a software antivirus y de seguridad.

Infecta a Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en Assembler con una extensión de 38,568 bytes y comprimido con rutinas propias.

Una vez ingresado al sistema se copia a la siguientes rutas con los nombres:

%System%\compbatc.dll (componente DLL)
%System%\compbatc.exe (copia del gusano)
%System%\compbatc.ini (ejecutor de Inicio)
%System%\compbatc.ocx (archivo inocuo)
%System%\compbatc.zip (contine relación de sitios web)

Crea las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet]
Services\001b18a5
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet]
Services\compbatc
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet]
Services\compbatcDrv

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, para desestabilizar al sistema y la red LAN cres las sub-llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
SafeBoot\Minimal
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
SafeBoot\Network

luego el gusano explota la vulnerabilidad del Servicio de Servidor (MS08-067) y descarga malwares de las rutas:

http://www.healthmart.com/kernel/cmd.txt
http://www.healthart.com/download/67.exe

almacena los archivos descargados, para su ejecución para el siguiente inicio del sistema en:

%System%\NetGuy5.exe

al haber infectado el archivo HOSTS impide al acceso a los siguientes dominios realcionados a software de seguridad:

* 360.cn
* alert.rising.com.cn
* baike.360.cn
* bbs.360.cn
* bbs.360safe.com
* bbs.cpcw.com
* bbs.dswlab.com
* bbs.duba.net
* bbs.ikaka.com
* bbs.janmeng.com
* bbs.kafan.cn
* bbs.kaspersky.com.cn
* bbs.mcafeefans.com
* bbs.sucop.com
* bbs.trendmicro.com.cn
* buy.rising.com.cn
* center.rising.com.cn
* cn.mcafee.com
* cn.trendmicro.com
* csc.rising.com.cn
* dnl-cd1.kaspersky-labs.com
* dnl-cd10.kaspersky-labs.com
* dnl-cd11.kaspersky-labs.com
* dnl-cd12.kaspersky-labs.com
* dnl-cd13.kaspersky-labs.com
* dnl-cd14.kaspersky-labs.com
* dnl-cd2.kaspersky-labs.com
* dnl-cd3.kaspersky-labs.com
* dnl-cd4.kaspersky-labs.com
* dnl-cd5.kaspersky-labs.com
* dnl-cd6.kaspersky-labs.com
* dnl-cd7.kaspersky-labs.com
* dnl-cd8.kaspersky-labs.com
* dnl-cd9.kaspersky-labs.com
* dnl-cn1.kaspersky-labs.com
* dnl-cn10.kaspersky-labs.com
* dnl-cn11.kaspersky-labs.com
* dnl-cn12.kaspersky-labs.com
* dnl-cn13.kaspersky-labs.com
* dnl-cn14.kaspersky-labs.com
* dnl-cn15.kaspersky-labs.com
* dnl-cn2.kaspersky-labs.com
* dnl-cn3.kaspersky-labs.com
* dnl-cn4.kaspersky-labs.com
* dnl-cn5.kaspersky-labs.com
* dnl-cn6.kaspersky-labs.com
* dnl-cn7.kaspersky-labs.com
* dnl-cn8.kaspersky-labs.com
* dnl-cn9.kaspersky-labs.com
* dnl-eu1.kaspersky-labs.com
* dnl-eu10.kaspersky-labs.com
* dnl-eu11.kaspersky-labs.com
* dnl-eu12.kaspersky-labs.com
* dnl-eu13.kaspersky-labs.com
* dnl-eu14.kaspersky-labs.com
* dnl-eu15.kaspersky-labs.com
* dnl-eu2.kaspersky-labs.com
* dnl-eu3.kaspersky-labs.com
* dnl-eu4.kaspersky-labs.com
* dnl-eu5.kaspersky-labs.com
* dnl-eu6.kaspersky-labs.com
* dnl-eu7.kaspersky-labs.com
* dnl-eu8.kaspersky-labs.com
* dnl-eu9.kaspersky-labs.com
* dnl-jp1.kaspersky-labs.com
* dnl-jp10.kaspersky-labs.com
* dnl-jp11.kaspersky-labs.com
* dnl-jp12.kaspersky-labs.com
* dnl-jp13.kaspersky-labs.com
* dnl-jp14.kaspersky-labs.com
* dnl-jp15.kaspersky-labs.com
* dnl-jp2.kaspersky-labs.com
* dnl-jp3.kaspersky-labs.com
* dnl-jp4.kaspersky-labs.com
* dnl-jp5.kaspersky-labs.com
* dnl-jp6.kaspersky-labs.com
* dnl-jp7.kaspersky-labs.com
* dnl-jp8.kaspersky-labs.com
* dnl-jp9.kaspersky-labs.com
* dnl-kr1.kaspersky-labs.com
* dnl-kr10.kaspersky-labs.com
* dnl-kr11.kaspersky-labs.com
* dnl-kr12.kaspersky-labs.com
* dnl-kr13.kaspersky-labs.com
* dnl-kr14.kaspersky-labs.com
* dnl-kr15.kaspersky-labs.com
* dnl-kr2.kaspersky-labs.com
* dnl-kr3.kaspersky-labs.com
* dnl-kr4.kaspersky-labs.com
* dnl-kr5.kaspersky-labs.com
* dnl-kr6.kaspersky-labs.com
* dnl-kr7.kaspersky-labs.com
* dnl-kr8.kaspersky-labs.com
* dnl-kr9.kaspersky-labs.com
* dnl-ru1.kaspersky-labs.com
* dnl-ru10.kaspersky-labs.com
* dnl-ru11.kaspersky-labs.com
* dnl-ru12.kaspersky-labs.com
* dnl-ru13.kaspersky-labs.com
* dnl-ru14.kaspersky-labs.com
* dnl-ru15.kaspersky-labs.com
* dnl-ru2.kaspersky-labs.com
* dnl-ru3.kaspersky-labs.com
* dnl-ru4.kaspersky-labs.com
* dnl-ru5.kaspersky-labs.com
* dnl-ru6.kaspersky-labs.com
* dnl-ru7.kaspersky-labs.com
* dnl-ru8.kaspersky-labs.com
* dnl-ru9.kaspersky-labs.com
* dnl-us1.kaspersky-labs.com
* dnl-us10.kaspersky-labs.com
* dnl-us11.kaspersky-labs.com
* dnl-us12.kaspersky-labs.com
* dnl-us13.kaspersky-labs.com
* dnl-us14.kaspersky-labs.com
* dnl-us15.kaspersky-labs.com
* dnl-us2.kaspersky-labs.com
* dnl-us3.kaspersky-labs.com
* dnl-us4.kaspersky-labs.com
* dnl-us5.kaspersky-labs.com
* dnl-us6.kaspersky-labs.com
* dnl-us7.kaspersky-labs.com
* dnl-us8.kaspersky-labs.com
* dnl-us9.kaspersky-labs.com
* download.rising.com.cn
* dswlab.com
* file.ikaka.com
* forum.ikaka.com
* forum.jiangmin.com
* fw.rising.com.cn
* go.rising.com.cn
* help.rising.com.cn
* kaba.360.cn
* kpfans.com
* mcafeefans.com
* online.jiangmin.com
* online.rising.com.cn
* security.symantec.com
* shadu.baidu.com
* shadu.duba.net
* sos.rising.com.cn
* sucop.com
* tool.ikaka.com
* up.duba.net
* update.ikaka.com
* update.rising.com.cn
* www.360.cn
* www.360Safe.com
* www.ahn.com.cn
* www.dswlab.com
* www.ikaka.com
* www.kaspersky.com.cn
* www.kaspersky.com
* www.kpfans.com
* www.kztechs.com
* www.mcafee.com
* www.pcav.cn
* www.rising.com.cn
* www.shudoo.com
* www.sucop.com
* www.trendmicro.com.cn
* www.vrv.com.cn
* zhidao.ikaka.com

Para mayor información y descarga del parche correspondiente visite:

* Microsoft Security Bulletin MS08-067