CBH

CBH, troyano/backdoor, roba teclas digitadas, envía información a través de puertos no asignados, etc.

Jorge Machado Lima-Perú

Troj/Backdoor/CBH

CBH es un nocivo troyano/backdoor reportado el 29 de Diciembre del 2003, que infecta con un archivo de nombre Svchst32.exe, el mismo actúa como "dropper" ya que libera otro archivo con extensión .DLL.

Es transmitido en forma directa a través de diversos servicios de Internet, como Correo, el IRC (Internet Chat Relay), redes de archivos compartidos Peer to Peer, Grupo de Noticias, etc.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en Visual C++, con una extensión de 15 KB el archivo EXE y 224 KB el DLL y se encuentra comprimido con el utilitario ASPack para dificultar su desensamblaje:

http://www.aspack.com

Una vez ingresado a un sistema este troyano se auto-copia al directorio %Windir% como Svchst32.exe y para ejecutarse la próxima vez que se re-inicie el sistema

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AntiClicker" = "%Windir%\Svchst32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para registrar la fecha de infección e instalación, el troyano agrega la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
"InstallDate" = "[fecha_hora_del_sistema]"

Al siguiente re-inicio el troyano se activa en memoria y libera en el mismo directorio %Windir% el archivo KL3512.DAT que en realidad en DLL renombrado.

Del mismo modo abrirá los puertos TCP 7315 y 31458 "no asignados" ni documentados.

El KL3512.DLL capturará las teclas digitadas de los sistemas infectados, las cuales registrará, así como los sitios web visitados y actuando como backdoor enviará la información capturada al hacker a través de los puertos abiertos.

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente podrá tomar el control de los mismos.

Los payloads de este troyano/backdoor son los siguientes:

Infecta en forma directa a través de diversos servicios de Internet.
Su archivo ejecutable actúa como "dropper" liberando un archivo DLL renombrado con la extensión .DAT.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Captura teclas digitadas por el usuario.
Roba claves de acceso y números de tarjetas de crédito.
Envía la información al hacker a través de los puertos 7315 y 31458 no asignados.
Control de Acceso Remoto de los archivos y programas de los sistemas atacados
Puede enviar comandos a través del Chat.
Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versión 8.4 con registro de virus al 29 de Diciembre del 2003 detecta y elimina eficientemente este troyano/backdoor.