Antilam 2.0g

ANTILAM 2.0k, destructivo troyano/backdoor controla remotamente sistemas, ocasiona múltiples estragos.

Troj/BackDoor/AntiLam 2.0k

AntiLam 2.0k es un destructivo troyano/backdoor ruso, reportado el 03 de Mayo del 2003, que ingresa a los sistemas con un archivo de nombre aleatorio, con 179 KB de extensión, a través de puerto 29999, y se comunica y recibe instrucciones de ese puerto, además del 30303.

El poseedor del software Cliente tomará el control remoto del equipo, ejecutando una variedad de acciones y estragos.

Ha sido creado por el hacker ruso denominado Over G y está programado en Borland Delphi.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 y el archivo está comprimido con el utilitario ruso, PEPak:

http://arctest.narod.ru/self/pepack.htm

Al ingresar a un equipo se auto-copia a la carpeta %System% con el nombre de internat.exe y borra el nombre original del archivo.

Para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SVCHOST" = "%System%\internat.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SVCHOST" = "%System%\internat.exe"

En Windows 95/98/Me, realiza modificaciones en las líneas Shell y Run del archivo WIN.INI, con el propósito de activarse al reiniciarse estos sistemas operativos.

SYSTEM.INI
[windows]
shell=Explorer.exe %System%\internat.exe

WIN.INI
[windows]
run=%System%\internat.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Una vez re-iniciado el sistema, crea el archivo Scan.dll en la carpeta %System% y genera un registro que almacenará la información y configuración del backdoor.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\KeyConfig]

Finalmente agrega un valor a esta llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\DirectX]
"Start" = "ok"

El Backdoor Servidor capturará, enviará y recibirá instrucciones del hacker a través de los puertos 29999 y 30303, quien además tomará el control de los sistemas infectados.

Los payloads de este troyano/backdoor son los siguientes:

Ingresa al sistema a través del puerto 29999, se comunica y recibe instrucciones de ese puerto, además del 30303
Suspende, re-inicia, apaga o colapsa el sistema.
Captura información del hardware, sistema, direcciones de correo y roba passwords de archivos.
Extrae o descarga archivos al sistema.
Modifica los registro de MS Windows.
Define o renombra el nombre del Servidor.
Ejecuta archivos o programas, crea, renombra o borra carpetas.
Ejecuta o termina Procesos en actividad.
Monitorea el sistema en forma remota.
Puede enviar mensajes de correo.
Controla el teclado, mouse, la lectora de CD ROM y la pantalla.
Borra archivos.
Formatea el disco duro.

PER ANTIVIRUS® versión 8.0 con registro de virus al 03 de Mayo del 2003 detecta y elimina eficientemente este troyano/backdoor.