|
ALADINZ.C, destructivo troyano/backdoor IRC controla remotamente sistemas
con recursos compartidos.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Aladinz.C,
Win32/Ircobus
 |
|
Aladinz.C
es
un destructivo troyano/backdoor
reportado el 04 de
Julio del 2003, que ingresa a los
sistemas través del IRC
(Internet Chat Relay) con un archivo de nombre
uqir.exe,
aunque también puede usar otros
servicios de Internet. Aprovecha
las vulnerabilidades de las Redes con recursos compartidos
"ocultos" Admin$
e IPC$
Actúa como
"dropper",
ya que al ser activado libera una gran variedad de archivos
nocivos y herramientas componentes, para su eficiente
ejecución.
|
Este
troyano/backdoor permitirá al hacker poseedor del software
Cliente tomar el control absoluto de los sistemas
infectados, robando
información, incluyendo passwords y ejecutando una variedad de acciones y estragos.
Es un
PE (Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003
Ingresado a un sistema se auto-copia al
directorio raíz como uqir.exe y al ser
ejecutado crea la sub-carpeta:
%System%\Kitro
Luego libera y copia a esta carpeta los siguientes
archivos:
- Libparse.exe (archivo visualizador de
procesos de 25 KB)
- Psexec.exe (herramienta de ejecución
remota de 120 KB)
- Winsrv_.exe (herramienta para esconder
Windows de 18 KB)
- Srv32.dll (script IRC de 22 bytes)
- R.ini (script IRC de 67 bytes)
- Rcfg.ini (archivo .INI de
2.3 KB
usado por el troyano para ejecutar otros scripts)
- Webstat.bat
(de 17 KB crea un archivo de texto con contiene una lista de
"nicknames" o pseudónimos)
- Systroy.exe (un troyano Cliente del mIRC)
- Keu.exe (el
Troyano Downloader.Aphe de 2.5 KB)
- Systems32x.dll (script IRC de
33 KB)
- Secure.bat (archivo BAT troyano de 546
bytes)
- Sys_bat.bat (archivo BAT troyano de
3.7 KB) usado para conectarse a recursos compartidos IPC$
en cada una de las direcciones IP que encuentre de una lista de
nombres de usuarios y claves de acceso.
Al ejecutarse el archivo sys_bat.bat
auto-copia Keu.exe a los sistemas remotos y ejecuta el troyano/backdoor.
Para que el backdoor del mIRC
se ejecute la
próxima vez que se inicie el sistema, crea la siguiente llave de registro
que activará su componentes Scripts:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win32ini" = "%System%\Kitro\systroy.exe"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Para activar las extensiones del archivo
IRC ejecutará %System%\Kitro\Systroy.exe
en el background, en forma transparente para el usuario, en la llave [HKEY_LOCAL_MACHINE\Software\Classes]
cada vez que se ejecute una sesión de Chat.
Luego crea una sub-llave OBCD
(Open DataBase Connectivity) en el registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall]
"DisplayName" = "mIRC"
"UninstallString" = "%System%\Kitro\systroy.exe-uninstall"
El troyano/backdoor Keu.exe es copiado
a los recursos compartidos "ocultos" Admin$
e IPC$,
luego ejecuta el archivo system32x.dll
para poder conectarse a una lista generada aleatoriamente de direcciones IP
y aprovecha las vulnerabilidades de estos recursos, para ingresar al sistema
como Administrador, con todos los privilegios.
Además de enviar la información capturada
y extraída de los sistemas atacados, el poseedor del Backdoor
Cliente podrá tomar el control de los mismos.
Los payloads
de este troyano/backdoor son los siguientes:
- Ingresa vía el IRC (Internet Chat
Relay) con un archivo "dropper" que libera una variedad de
componentes.
- Se propaga e infecta a través de Redes
Locales con recursos compartidos y estaciones remotas.
- Aprovecha las vulnerabilidades de los
recursos compartidos Admin$ e IPC$.
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Captura teclas digitadas por el usuario.
- Roba claves de acceso y números de
tarjetas de crédito.
- Controla remotamente archivos, programas
y procesos de los sistemas atacados.
- Activa y desactiva el equipo, lo
suspende o apaga.
- Intercambia información entre el
sistema remoto y el hacker, via Chat.
- Crea, renombra, ejecuta o Borra archivos.
- Formatea el disco duro.
NOTA: el
troyano Downloader.Aphe puede ser
impunemente descargado de www.ircx-vanguard.com
PER ANTIVIRUS®
versión 8.1 con registro de virus al 04 de
Julio
del 2003 detecta y elimina eficientemente este troyano/backdoor.
