|
ALOR, destructivo troyano/backdoor, roba información y toma control absoluto de los sistemas.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Alor
 |
|
Alor
es
un destructivo troyano/backdoor
reportado el
24 de Abril del 2003, que ingresa a los
sistemas través del puerto 12345 vía Chat, con un archivo de nombre shell32exec.exe, aunque también puede
ser propagado vía correo con archivos anexados, FTP, P2P,
HTTP, Telnet, etc.
Una vez
ingresado a un sistema, el hacker poseedor del software
Cliente toma el control remoto del sistema infectado, roba
información y ejecuta una variedad de acciones y estragos. |
El puerto 12345 corresponde al Italk Chat
System, el protocolo que permite conectarse simultáneamente con
varios usuarios vía Telnet, Windows, Emacs, Java y CGI (Common Gatewate
Interface). También es el puerto TCP usado por defecto por el Troyano
NetBus:
El archivo es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000,
está desarrollado en Visual Basic, con una extensión de 36 KB
y
comprimido con el utilitario
UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
La muestra obtenida fue
enviada desde España (+2 GMT)
El troyano se auto-copia indistintamente al
directorio %Windir%
o a la carpeta %System% con el nombre de
shell32exec.exe
y para activarse la siguiente vez que se inicie el sistema crea
una de las siguientes llaves
de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Messenger.exe = "%Windir%\shell32exec.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Ctfmon.exe = "%System%\shell32exec.exe"
%Windir%
es una variable que corresponde a C:\Windows
en Windows 95/98/Me/XP/Server 2003 y C:\Winnt
en Windows NT\2000.
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP.
(estas llaves simulan corresponder al MSN
Messenger, de mensajería
instantánea y al controlador Ctfmon,
que es un protocolo alternativo de textos de la barra de
lenguaje de MS Office).
Para el mismo propósito de
auto-activación modifica la entrada "run"
del WIN.INI en Windows.
WIN.INI
[windows]
run=%Windir%\shell32exec.exe
Al re-iniciarse el sistema el troyano se activará y permanecerá residente en
la memoria, recibiendo instrucciones o comando a través del puerto 12345
del hacker poseedor del software Cliente.
Los payloads
de este troyano/backdoor son los siguientes:
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Captura teclas digitadas por el usuario.
- Roba claves de acceso.
- Controla remotamente archivos
y programas de los sistemas atacados.
- Activa y desactiva el equipo, lo
suspende o apaga.
- Envía comandos a través del
Chat.
- Borra archivos y formatea el disco duro.
PER ANTIVIRUS®
versión 8.0 con registro de virus al 24 de
Abril
del 2003 detecta y elimina eficientemente este troyano/backdoor.
Nota: existe una diferencia de 7 horas
entre Perú (-5 GMT) y España (+2 GMT)
