|
ARR, destructivo troyano/backdoor, simular ser un software instalador,
toma control absoluto de los sistemas.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Backdoor/Arr
 |
|
Arr
es un
destructivo troyano/backdoor
reportado el 18 de Marzo
del 2003, que se propaga con el archivo svch0st.exe
y es transmitido por el servicios de
Internet Telnet, el IRC
(Internet Chat Relay)
o las redes de archivos compartidos Peer to Peer
tales como Kazaa, BearShare,
eDonkey,
Morpheus,
etc.
Ingresa a través de los puertos TCP
1040, 1041 y 1043, en caso
que éstos se encuentren abiertos, aprovechando una vulnerabilidad del NMS
(Network Management Server). |
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP
incluyendo los servidores NT/2000,
está desarrollado en Visual C++ con una extensión de 377.5 KB
y
comprimido con el utilitario
UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
Al activarse el troyano se auto-copia a la
carpeta %System% como svch0st.exe
y para activarse la próxima vez que se inicie el sistema, crea las
siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winlogon" = "%System%\svch0st.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"winlogon" = "%System%\svch0st.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"winlogon" = "%System%\svch0st.exe"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP.
Para el mismo propósito de
auto-activación modifica la entrada "run"
del WIN.INI en Windows.
WIN.INI
[windows]
run=%System%\svch0st.exe
Al ejecutarse muestra en pantalla un
icono que simula ser un instalador de un programa.
Los payloads
de este troyano/backdoor son los siguientes:
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Roba claves de acceso y números de
tarjetas de crédito.
- Control de Acceso Remoto de los archivos
y programas de los sistemas atacados.
- Captura teclas digitadas por el usuario.
- Envía mensajes de correo desde el
equipo infectado a través de las librerías MAPI.
- Controla periféricos
como el mouse, CD/DVD drives, monitor, etc.
- Activa y desactiva el equipo, lo
suspende o apaga.
- Puede enviar comandos a través del
Chat.
- Borra archivos y formatea el disco duro.
PER ANTIVIRUS®
versión 7.9 y 8.0 con registro de virus al 18 de
Marzo
del 2003 detecta y elimina eficientemente este troyano/backdoor.
