Cimuz.AX

CIMUZ.AX troyano de HTTP se conecta a servidor externo y envía información confidencial sustraída del sistema.

Troj/Cimuz.AX

Cimuz.AX es un troyano residente en memoria reportado el 28 de Septiembre del 2006 que ingresa a los sistemas a través de diversos servicios de Internet y establece una conexión con un servidor remoto, haciendo uso del puerto TCP 80 u 8080 (HTTP) desde el cual podrá sustraer data y robar información crítica.

El troyano es ejecutado continuamente en segundo plano, lo cual permitirá que intrusos accedan al sistema a través de diversos canales de Chat.

Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia a las siguientes rutas, con los nombres:

%Temp%\124622.gif
%System%\hook.dll
%System%\ipv6monl.dll
%System%\msn.exe

y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MSN" = "%System%\msn.exe" /INITSERVICE

El troyano registra al archivo ipv6monl.dll como un objeto COM y un Browser Helper Object (BHO) para el Internet Explorer y crea las entradas:

[HKEY_CURRENT_USER\CLSID\{73364D99-1240-4dff-B11A-67E448373048}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\browser helper obJects\
{73364D99-1240-4dff-B11A-67E448373048}]

Al siguiente inicio del equipo, el troyano configura las siguiente llaves para desestabilizar la seguridad del sistema:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\Archivos de programa\Internet Explorer
IEXPLORE.EXE = Archivos de programa\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer]

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Haciendo uso del puerto TCP 80 u 8080 (HTTP) el troyano contactará un servidor con nombre cifrado dentro de su código viral, al cual enviará información confidencial sustraída del sistema.

PER ANTIVIRUS® versión 9.8 con registro de virus al 28 de Septiembre del 2006 detecta y elimina este troyano.