Antixbot

ANTIXBOT gusano/backdoor de Windows Live Messenger e IRC re-configura IE y Firefox activa BOT, etc.

W32/Antixbot

Antixbot es un gusano/backdoor residente en memoria, reportado el 14 de Junio del 2007 que se propaga a través del MS Windows Live Messenger.

Deshabilita el filtro anti-phisihing del Internet Explorer y cambia su página de inicio, así como la del Firefox y modifica el archivo HOSTS para impedir el acceso a Google.

Se conecta aleatoriamiente a uno de tres servidores del IRC (Internet Chat Relay) y se une a un canal de Chat cifrado desde el cual ejecutará comandos arbitrarios, pudiendo tomar el control de los sistemas infectados, en forma remota.

Infecta a Windows 95/98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 136KB y comprimido con el utilitario ASPack:

http://www.aspack.com

El gusano se ejecuta continuamente en segundo plano, mientras activa su componente Backdoor.

Una vez ingresado, el gusano se copia a la siguiente ruta con el nombre de:

%System%\[Nombre_aleatorio]\svchost.exe

para activarse la próxima vez que se re-inicie el sistema, agrega las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost" = "%System%\[Nombre_aleatorio]\svchost.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svchost" = "%System%\[Nombre_aleatorio]\svchost.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

(la carpeta con nombre aleatorio es creada dentro de %System%)

Al siguiente inicio del equipo, el gusano muestra esta falsa caja de diálogo:

y crea el siguiente atajo (shortcut), para que el usuario inadvertidamente ejecute el gusano:

%UserProfile%\start Menu\Programs\svchost.lnk

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Equivale a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

para cambiar la página de inicio del Internet Explorer crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"start Page" = "http://www.imtools.org"

para cambiar la página de inicio del navegador Firefox cambia los valores de su configuración en la ruta:

%UserProfile%\Application Data\Mozilla\Firefox\Profiles\[nombre_de_usuario]\prefs.js

para restringir el acceso a Google modifica el archivo Hosts:

127.0.0.1 services.google.com

ejecuta en forma aleatoria los comandos ipconfig y flushdns para limpiar el cache del DNS para poder modificar el archivo HOSTS.

para deshabilitar el filtro anti-phishing del Internet Explorer crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"PhishingFilter" = "0"

Actuando como Backdoor se conecta a los siguientes servidores IRC (Internet Chat Relay):

rad.clip-engine.com vía puerto TCP 1598
lol.wewillbebackshortlystaystuned.org vía puerto TCP 6667
encrraadd.com vía puerto TCP 6667

y se une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones:

Capturar y enviar información confidencial del sistema
Descargar y ejecutar archivos con códigos malignos
Descargar actualizaciones de sí mismo
Ejecutar saturaciones vía UDP, SYN o PING
Propagarse a través del Windows Live Messenger
Desinstalarse a sí mismo
Tomar el control de los sistemas infectados, en forma remota.

PER ANTIVIRUS® versión 10.1 con registro de virus al 14 de Junio del 2007 detecta y elimina este gusano/backdoor.