|
Bkdr_Agent.NOZ
Agent.NOZ es un backdoor reportado el 25 de Marzo del 2008 que se propaga a través de otras especies virales o visitando sitios web infectados.
Abre puertos TCP aleatorios permitiendo a los intrusos el acceso remoto al sistema infectado, haciendo uso de diversos servicios de Internet.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, desarrollado en Visual C++, con una extensión de 158KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ingresar a un sistema crea la siguiente ruta y carpeta:
C:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host
y libera a esa misma ruta su componente .DLL:
C:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
Para ejecutarse la próxima vez que se re-inicie el sistema, crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvGraphicsInterface" = "[Ruta_del_backdoor]"
crea además las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UPnP Device Host\
HTTP Server\VROOTS\/upnphost]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
SystemBootData = "hex:01,00,00,00,f6,b3,73,65,72,76,31,2e,61,6c,77,61,79,73,70,72,
6f,78,79,32,2e,69,6e,66,6f,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,52,61,58,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,0"
Al siguiente inicio del equipo el Backdoor abre puertos TCP aleatorios para permitir que los intrusos se conecten al sistema usando servicios tales como HTTP, Telnet o el IRC (Internet Chat Relay), desde los cuales ejecutará comandos remotos arbitrarios.
PER ANTIVIRUS® versión X4 con registro de virus al 25 de Marzo del 2008 detecta y elimina eficientemente este backdoor.
