|
CABRONATOR 3.KILL.1.beta3, destructivo troyano/backdoor controla y colapsa
remotamente los sistemas.
|
|
©
Jorge Machado Lima-Perú
|
|
CaBrONaToR
3.kill.1.beta3
CaBrONaToR
3.kill.1.b3
es un
destructivo troyano/backdoor
reportado el 04 de Abril
del 2003, creado por el hacker español ElGranOscarín, quien
es un programador de 27 años cuyas iniciales son O.L.H y acaba de ser
detenido por la Guardia
Civil de España en un operativo denominado CLON
que se inició en Agosto del 2002:
http://www.elmundo.es/navegante/2003/04/04/seguridad/1049450918.html
Este troyano es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003
Está desarrollado en Visual C++ y comprimido
con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
A la fecha, los sistemas de
hacking y cracking de ElGranOscarín
se encuentran al alcance de cualquier usuario
en su sitio web, aunque posiblemente su portal sea clausurado muy pronto:
http://elgranoscarin.cjb.net
Tiene la capacidad de
configurar y generar a voluntad el troyano/backdoor que una vez ingresado a uno a más sistemas incluyendo servidores,
permitirá al poseedor del software Cliente, tomar el absoluto control de los
mismos y causarles efectos nocivos o hasta destructivos.
CaBrONaToR
3.kill
cuenta con los siguientes componentes:
Editor de Servidores: CABRONEDIT.EXE de
176 KB
El editor configura por defecto el canal #valencia del IRC para notificar su
código, pero puede ser modificado a cualquier canal de Chat. Asimismo puede
modificar los siguientes valores:
- Propietario del infectado
- Nick del bot en el IRC
- #Canal donde aparece el bot
- Contraseña del canal
- Servidor SMTP
- Dirección correo a quien notificar la IP
Cliente: CABRONATOR.EXE de
442 KB
- Configura el servidor a ser atacado.
- Configura el puerto a ser atacado.
- Modifica los registros de MS Windows ya
sean en %Windir% o %System%
- Modifica el archivo WIN.INI
- Utiliza diversos métodos de ingreso,
tales como Correo, IRC, ICQ, P2P, Telnet, etc.
- Toma control del sistema por el IRC
- Extrae la información del sistema,
direcciones de correo, passwords, etc. vía Messenger, ICQ o IRC.
- Notifica a la dirección de correo
configurada por el hacker.
Servidor: 8======D.exe,
con una extensión de 186 KB y que puede ser renombrado a voluntad.
Nota: Descargar e instalar este software
implica un grave riesgo de ser atacado.
Los payloads
de este troyano/backdoor son los siguientes:
- Se propaga a través de cualquiera de los servicios de
Internet.
- Genera llaves de registro de Windows.
- Genera un archivo por defecto cabro.ini,
que puede ser renombrado.
- Substrae o cambia Claves de Acceso o
archivos de Passwords.
- Reporta información del sistema: versión
de Windows, CPU, usuarios, claves de acceso, etc.
- Captura los IP de los usuarios de una
Red local.
- Captura los nombres de usuarios y claves
de acceso de HOTMAIL y MSN Messenger.
- Envía la información capturada al hacker
vía Correo o Chat, mostrándole una ventana Pop Up.
- Ejecuta y controla remotamente archivos, programas, procesos, etc.,
vía Chat.
- Ejecuta comandos D.O.S.
- Reinicia el Servidor.
- Descarga o extrae archivos en los sistemas
atacados.
- Renombra o borra archivos de cualquier
extensión.
- Muestra en pantalla falsos mensajes de
error.
- Descarga e instala un protector de
pantallas.
- Abre/cierra la bandeja del CD o DVD
- Ejecuta archivos de sonido o video.
- Envía información: RAS (Remote Access
Server), MSN Messenger y servicios .NET
- Desactiva, reinicia o apaga el sistema.
- Cuelga el sistema dejando activado un
sonido intermitente.
- Cambia la fecha y hora del sistema.
- Muestra mensajes en pantalla.
- Ejecuta ataques de Negación de
Servicios DoS
que saturan servidores web, de correo y LAN.
- Realizar acciones nocivas como manipular el mouse, mostrar/ocultar la Barra de Tareas.
- Formatea el disco duro.
PER ANTIVIRUS®
versiones 8.0 con registro de virus al 04 de
Abril detecta y elimina eficientemente
a los troyanos/backdoor, creados por CaBrONaToR.
