|
ANIG, gusano/troyano/backdoor de
Redes con recursos compartidos, roba teclas digitadas y contraseñas.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Anig,
Troj/Backdoor/Dfcsvc
 |
|
Anig
es un gusano/troyano/backdoor
reportado el 30 de Enero del 2004, que ingresa a través de varios servicios
de Internet, tales como Telnet, FTP, IRC, HTTP
con un archivo de nombre Ntosa32.exe y
libera un componente backdoor DLL.
El gusano aprovecha las vulnerabilidades de los recursos compartidos
"ocultos" Admin$ e IPC$
y actuando como Backdoor, captura las teclas
digitadas y contraseñas y envía la información capturada a su
autor a través de AOL Instant Messenger. |
Es un PE
(Portable
Ejecutable) e infecta Windows
NT/2000/XP,
incluyendo los servidores NT/2000/Server 2003,
está desarrollado en Borland Delphi con una extensión de 52 KB
y su componente DLL de 26 KB.
Cuando el gusano es ejecutado, se auto-copia a
la carpeta %System% con el nombre de Ntosa32.exe
que es una copia del gusano y
el archivo Ntbkbh32.dll que actúa como
Backdoor.
Para ejecutarse la próxima vez que se inicie
el sistema modifica las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Osa32" = "%System%\Ntosa32.exe"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Asimismo crea este registro con las sub-llaves:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dfcsvc]
"DependOnGroup" = "0x0"
"DependOnService" = "RpcSS"
"DisplayName" = "Distributed File Controller"
"Error Control" = "0x0"
"ImagePath" = "NTOSA32.exe/dfcsvc"
"ObjectName"= "LocalSystem"
"Start" = "0x2"
"Type" = "0x110"
Al siguiente re-inicio el gusano clasifica
los recursos compartidos de las redes e intenta copiarse como:
- \\[equipo_remoto\ADMIN$\SYSTEM32\NTOSA32.exe
Si logra ingresar a un sistema genera la
llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Ram32Data
Ram32ID
Ram32Group
Luego captura las teclas digitadas y contraseñas y las almacena en la ruta:
%System%\Ntkbh32.dll
Para ello utiliza el siguiente comando:
C:\>net use \\[IP_del_equipo]\IPC$ "" /user:""
El gusano aprovecha las vulnerabilidades de los recursos compartidos
"ocultos" Admin$ e IPC$:
NOTA: Un intruso puede establecer una comunicación válida con el servidor, conectándose al
IPC$ como
"null", sin necesidad de introducir el nombre del Usuario o la Clave de Acceso.
ADMIN$ es el recurso que utiliza el sistema durante la administración remota de los equipos, siendo siempre su ruta de acceso
por defecto, la Raíz del sistema.
Actuando como Backdoor, envía la información
capturada a su autor a través de AOL Instant Messenger.
Los payloads
de este gusano/troyano/backdoor son los siguientes:
- Ingresa a través de varios servicios de
Internet tales Telnet, FTP, HTTP con una archivo EXE y un componente
backdoor DLL
- También ingresa aprovechando vulnerabilidades de los recursos compartidos
"ocultos" Admin$ e IPC$.
- Si logra ingresar hace uso de todos los
privilegios del Administrador de Red.
- Se propaga a otras redes con recursos
compartidos vulnerables.
- Captura las pulsaciones de la teclas
digitadas y las contraseñas, almacenándolas en un archivo.
- Envía la información capturada a su
autor a través de AOL Instant Messenger.
PER ANTIVIRUS®
versión 8.4 y 8.5 con registro de virus al 30 de Enero del 2004 detecta y elimina este
gusano/troyano/backdoor.
