Troj/Backdoor.Berbew.J

Berbew.J es un destructivo troyano/backdoor reportado el 26 de Agosto del 2004, que captura las teclas digitadas, contraseñas, tarjetas de crédito e información ingresada en los formularios de Internet Explorer de los sistemas infectados, e envía al poseedor del software Cliente del backdoor instalado, a través de los puertos TCP 12065 y 28253 así como de un servidor FTP. Manipula y deshabilita funciones del navegador MS Internet Explorer.

Muestra un falso formulario HTML que invita al usuario a llenar información personal, tarjeta de crédito, número, fecha de expiración y el No. del PIN (Personnal Identification Number).  

A través de un intérprete de comandos (Root Shell) abre el puerto TCP 23232 y un servidor FTP del puerto TCP 32121 para enviar información y recibir instrucciones del intruso el cual podrá controlar en forma remota los equipos afectados. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está escrito en MS Visual C++ de extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez activado, el gusano crea el Mutex "Engel_12" para evitar ejecutarse en memoria más de una vez. 

Luego copia a la carpeta %System% 2 archivos con 8 caracteres aleatorios y las extensiones .EXE y .DLL respectivamente. 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.   

y para ejecutarse la próxima vez que se inicie el sistema genera una de las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 
"WebEvent Logger" = "{79ECA078-17FF-726B-E811-213280E5C831}"

Al activarse el gusano libera los siguientes archivos en la carpeta %System% para almacenar los datos de la configuración del sistema y las contraseñas capturadas para ser utilizadas por el troyano/backdoor:  

• Engl32.dat
• Rtdx1[números_aleatorios].htm
• engl32.vxd
• Rtdx1[números_aleatorios].dat
• ccct32.dat

Luego genera en la carpeta %Temp% varios archivos compuestos por 8 caracteres aleatorios y la extensión .HTML, los que el Backdoor podrá abrir a través del MS Internet Explorer. 

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

También crea la siguiente clave:

[HKEY_CLASSES_ROOT\CLSID\{79ECA078-17FF-726B-E811-213280E5C831}]

la cual activa el archivo [números_aleatorios].dll instalado en %System% que es invocado como un objeto de Ayuda de Internet Explorer.

Crea la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\IE4]
"Mgr" = "D-REPORTS-[8_caracteres_aleatorios]"

para impedir que los usuarios pregunten si desean enviar información desencriptada a través del navegador MS Internet Explorer.

Asimismo agrega la siguiente clave:

"1601" = "0x0"

a las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]

para impedir que los usuarios sean preguntados por Internet Explorer si desean enviar información no encriptada.

Agrega también las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline" = "0x0"

para impedir que los usuarios sean preguntados por Internet Explorer si desean trabajar con el navegador estando desconectados a Internet.

la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"BrowseNewProcess" = "Yes"

para conectar el sistema a Internet sin intervención del usuario.

y las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\AutoComplete]
"AutoSuggest" = "Yes"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\Main]
"Use FormSuggest" = "Yes"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\Main]
"FormSuggest Passwords" = "Yes"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\Main]
"FormSuggest PW Ask" = "Yes"

para deshabilitar la opción "Autocompletar" en Internet Explorer.

El troyano ejecuta las siguientes acciones:

• A través de un intérprete de comandos (Root Shell) abre el puerto TCP 23232.
• Se conecta a un servidor FTP (File Transfer Protocol) vía el puerto TCP 32121.
• Descarga archivos backdoors a través de los puertos TCP 12065 y 28253.

Captura las contraseñas de los sistemas infectados, intercepta la información ingresada en los formularios del navegador MS Internet Explorer y envía al atacante remoto. 

También envía la configuración del sistema a una carpeta cifrada y encriptada del sitio web:

http://www.pidorasam.net

Los payloads de este troyano/backdoor son los siguientes:

• Es un troyano/backdoor que captura las teclas digitadas, contraseñas e información ingresada en los formularios de Internet Explorer de los sistemas infectados.
• Muestra un falso formulario HTML que invita al usuario a llenar información relacionada a su tarjeta de crédito.
• Ingresa a través de puertos TCP y un servidor FTP.
• Manipula funciones del navegador MS Internet Explorer.
• Envía al poseedor del software Cliente la información capturada.
• También envía la información del sistema a una carpeta encriptada de un sitio en la web. 
• Puede controlar remotamente los sistemas infectados.

PER ANTIVIRUS® versiones 8.8 con registro de virus al 26 de Agosto del 2004 detecta y elimina  eficientemente este troyano/backdoor.