Beasty.J

BEASTY.J troyano/backdoor deshabilita antivirus firewalls ejecuta acciones arbitrarias en forma remota, etc.

Troj/Beatsy.J

Beatsy.J es un destructivo troyano/backdoor reportado el 27 de Junio del 2006 de propagación a través de diversos servicios de Internet que permite a los intrusos ingresar a los sistemas furtivamente y ejecutar en forma remota acciones destructivas.

Termina los procesos de antivirus, firewalls y software de control instalados.

Abre un servidor Backdoor autorizado de la red LAN.

Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003 ,desarrollado en Visual C++, con una extensión de 126KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia a las siguientes rutas con los nombres de archivos:

%System%\mspyra.com (copia del gusano)
%Windir%\Msagent\mssrsv.com (copia del gusano)
%Windir%\Dxdgns.dll (servidor backdoor)
%System%\mslg.blf (datos codificados)

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para ejecutarse la próxima vez que se re-inicie el sistema modifica las llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"COM Service" = "%System%\msagent\mssrsv.com"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"COM Service" = "%System%\msagent\mssrsv.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"COM Service" = "%System%\msagent\mssrsv.com"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"COM Service" = "%System%\msagent\mssrsv.com"

Adicionalmente crea las siguientes sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{42CE4021-DE03-E3CC-EA32-40BB12E6015D}]
"StubPath" = "%System%\mspyra.com"

Al siguiente inicio del equipo, el troyano inserta su componente .DLL en uno o más, de los siguientes procesos:

IExplore.exe
Explorer.exe
Systray.exe
Winlogon.exe

Luego termina los procesos de una extensa lista de software antivirus, firewalls y sistemas de control.

A través del puerto TCP 9999 se conecta al servidor interno 10.0.0.45

Esta conexión no es posible si un sistema con esa dirección IP no puede ser ejecutado como un servidor backdoor, dentro de una red LAN.

Usando su componente backdoor un intruso puede ejecutar las siguientes acciones en forma remota:

descargar y ejecutar archivos con códigos malignos
borrar archivos
ejecutar programas
modificar las llaves de registro
terminar procesos
capturar pantallas del sistema
ejecutar acciones tales como abrir y cerrar la unidad de CD ROM o DVD
habilitar o deshabilitar el mouse

PER ANTIVIRUS® versión 9.7 con registro de virus al 27 de Junio del 2006 detecta y elimina este troyano/backdoor.