Checkout

CHECKOUT gusano/backdoor de MSN Messenger envía mensajes a lista de contactos y archivo infectado, etc.

W32/Checkout

Checkout es un gusano/backdoor residente en memoria reportado el 05 de Junio del 2007, que se propaga a través del servicio de mensajería instantánea MSN Messenger, enviando en forma aleatoria mensajes de texto, conjuntamente con un archivo en formato .ZIP a toda la lista de contactos del usuario infectado.

Actuando como Backdoor se conecta a un servidor IRC (Internet Chat Relay) y se une a un canal de Chat desde el cual ejecutará comandos arbitrarios.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión variable y encriptado con rutinas propias.

Ingresado al sistema se copia al directorio %Windir% con el nombre de photos.zip y libera a la carpeta %System% un archivo .DLL:

%System%\syshosts.dll

para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B18FDF1D-4FBB-411D-9C59-AAFA7D4998E0}]
"InProcServer32": "%Systems%\syshosts.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts": "{B18FDF1D-4FBB-411D-9C59-AAFA7D4998E0}"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio del equipo, el gusano envía uno de los siguientes mensajes a la lista de contactos del MSN Messenger, del usuario con el sistema infectado, además del archivo photos.zip:

Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof mes photos chaudes :D
c'est seulement mes tof :p
hey regarde les tof, c'est moi et mes copains entrain de.... :D
zijn enige mijn foto's wanna
Hey ziet mijn nieuw fotoalbum?
Hey beindigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..

Como Backdoor usa un puerto TCP abierto disponible y se conecta a un servidor IRC (Internet Chat Relay), en el dominio free8.biz, y se une a un canal de Chat desde el cual ejecutará comandos arbitrarios, pudiendo ejecutar las siguientes acciones:

Descargar y ejecutar archivos con códigos arbitrarios
Ejecutar comandos remotos ocultos
Capturar y enviar una información completa del sistema y de la red
Capturar el Login (ingreso) y contraseña del sistema

PER ANTIVIRUS® versión 10.1 con registro de virus al 05 de Junio del 2007 detecta y elimina eficientemente este gusano/backdoor.