Troj/Agent.GXA

AGENT.GXA troyano/backdoor de IRC y redes recursos compartidos desestabiliza sistema ejecuta comando remotos.

Troj/Agent.GXA

Agent.GXA es un troyano/backdoor residente en memoria reportado el 25 de Abril del 2008, que se propaga a través de diversos servicios de Internet y de redes con recursos compartidos, configuradas con contraseñas débiles.

Se ejecuta continuamente en segundo plano (background) y a través de un servidor Backdoor permite que los intrusos tomen control en forma remota de los sistemas, vía canales de Chat.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Activa un BOT de IRC (Internet Chat Relay) y ejecuta diversas acciones en forma remota y desestabiliza el sistema.

Una vez ingresado al sistema se copia a la carpeta %System% con el nombre de mdm.exe y para activarse cada vez que se re-inicie el sistema, genera las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Networking Monitoring" = "%System%\mdm.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Networking Monitoring" = "%System%\mdm.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo configura la siguientes sub-llaves para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

para deshabilitar el protocolo DCOM (Distributed Component Object Model Communication) crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" = "N"

Rastrea las redes con recursos compartidos, configuradas con contraseñas débiles para intentar ingresar con los privilegios de Administrador usando el método de la "fuerza bruta".

Abre un Backdoor el cual es ejecutado contínuamente en segundo plano (background) y usando un BOT de IRC (Internet Chat Relay) se conecta a un pre-determinado canal de Chat desde el cual un intruso podrá ejecutar, entre otras, las siguientes acciones:

Capturar infomación sensible del sistema infectado
Ejecutar comandos arbitarios
Ejecutar ataques DoS.
Controlar en forma remota los sistemas infectados.

PER ANTIVIRUS® versiones X4 y X5 con registro de virus al 25 de Abril del 2008 detectan y eliminan este troyano/backdoor.