Deadhat.B

DEADHAT.B gusano P2P e IRC deshabilita antivirus usa backdoor de MyDoom ocasiona ataques DoS, etc.

W32/Deadhat.B, W32/Backdoor.Deadhat.B, W32/Vesser.B

Deadhat.B es un destructivo gusano/backdoor residente en memoria, variante de Deadhat reportado el 12 de Febrero del 2004, que se propaga a través de sistemas infectados con los gusanos Mydoom y Mydoom.B. Termina los procesos de antivirus, firewalls y software de monitoreo y se difunde además vía la Red Peer to Peer Soulseek, con atractivos nombres. Infecta con un archivo de nombre Msgsvr32.exe, captura, envía instrucciones e infecta a través del IRC (Internet Chat Relay).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, con una extensión de 55.5 KB, está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado a un sistema crea un mutex (Exclusión Mutua), denominado Y&T, para evitar la generación de sus múltiples auto-copias en la memoria de Windows.

A continuación se auto-copia a la carpeta %System% con el nombre de Msgsvr32.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"msgsvr32" = "%System%\msgsvr32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente inicio del sistema el gusano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados y tengan las siguientes cadenas:

ackwin32
apvxdwin
avconsol
ave32
avgcc32
avgctrl
avkserv
avsched32
avwin95
avwupd32
Azonealarm
blackd
blackice
ecengine
efinet32
esafe
espwatch
f-agnt95
fprot
f-prot
f-prot95
fp-win
f-stopw
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
kfp4gui
kfp4ss
kpfw32
navapw32
navlu32
navnt
navsched
nisum
nmain
normist
nupdate
nupgrade
nvc95
Zapro
zonealarm

En caso que el sistema esté infectado con los virus Mydoom y Mydoom.B este gusano termina los procesos:

document
readme
message
taskmon
xsharez_scanner
BlackIce_Firewall_Enterpriseactivation_crack
zapSetup_95_693
MS59-56_hotfix
winamp0
NessusScan_pro
attackXP-6.71

De igual modo borra las llaves de registro que fueron generadas por los gusanos Mydoom y Mydoon.B:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\TaskMon]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\Explorer]
[HKEY_CURRENT_USER\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]

Luego procede a borrar los siguientes archivos del sistema:

C:\BOOT.INI
C:\AUTOEXEC.BAT
C:\CONFIG.SYS
C:\Windows\WIN.INI
C:\Windows\SYSTEM.INI
C:\Windows\WININIT.INI
C:\WINNT\WIN.INI
C:\WINNT\SYSTEM.INI
C:\WINNT\WININIT.INI

De estar instalado el software P2P Soulseek, invoca a la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\SoulSeek\InstallPath]

Y se auto-copia a su carpeta de descarga de archivos, con los siguientes nombres:

WinXPKeyGen.exe
Windows2003Keygen.exe
mIRC.v6.12.Keygen.exe
Norton.All.Products.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRar.exe
WinAmp5.Crack.exe

Actuando como Backdoor el componente Shimgapi.dll abre los puertos TCP 3127, 3128 y 1080, usando direcciones IP aleatorias de sistemas que se encuentren infectados con Mydoom y Mydoom.B y les envía un comando para que este componente se ejecute en memoria y re-inicie el proceso de infección a sistemas, con un efecto multiplicador.

También se conecta al puerto TCP 2766 a través del cual puede intercambiar información, extraer o descargar archivos y ejecutarlos.

Posee su propio motor IRC (Internet Chat Relay) y a través del puerto TCP 6667 provoca un exceso de tráfico al comunicarse con los siguientes servidores:

viccy.2y.net
viccy.dyns.cx
viccy.mycoding.com
viccy.mykgb.com
viccy.yaboo.dk
viccy.45z.com
viccy.my-ho.st
viccy.hthl.ca
viccy.iwas2.net
viccy.sytes.net
viccy.dynsite.net
viccy.teasercam.com

Finalmente el gusano intenta ocasionar ataques DoS con comandos de saturación TCP, UDP, SYN y PUSH.

Dentro de su código se lee este texto:

Well, show me the way, To the next whiskey bar,
Oh, don't ask why, Oh, don't ask why,
Show me the way, To the next whiskey bar,
Oh, don't ask why, Oh, don't ask why,
For if we don't find, The next whiskey bar,
I tell you we must die, I tell you we must die,
I tell you, I tell you, I tell you we must die,
Oh, moon of Alabama, We now must say goodbye,
We've lost our good old mama,
And must have whiskey, oh, you now why,
Oh, moon of Alabama,
We now must say goodbye,
We've lost our good old mama,
And must have whiskey, oh, you now why,
Well, show me the way, To the next little girl,
Oh, don't ask why, Oh, don't ask why,
Show me the way, To the next little girl,
Oh, don't ask why, Oh, don't ask why,
For if we don't find, The next little girl,
I tell you we must die, I tell you we must die,
I tell you, I tell you, I tell you we must die,
Oh, moon of Alabama, We now must say goodbye,
We've lost our good old mama,
And must have whiskey, oh, you now why.

Los payloads de este troyano/backdoor son los siguientes:

Se propaga a través de sistemas infectados con los gusanos Mydoom y Mydoom.B.
Termina los procesos de antivirus, firewalls y software de monitoreo que estuviesen instalados.
En caso que el sistema esté infectado con los virus Mydoom y Mydoom.B termina sus procesos:
Se propaga a través de la red Peer to Peer Soulseek, con diversos nombres de archivos.
El componente Shimgapi.dll abre los puertos TCP TCP 3127, 3128 y 1080, usando direcciones IP aleatorias de sistemas que se encuentren infectados con Mydoom y Mydoom.B y les envía un comando para que este componente se ejecute en memoria y re-inicie el proceso de infección a sistemas, con un efecto multiplicador.
Se conecta al puerto TCP 2766 a través del cual puede intercambiar información, extraer o descargar archivos y ejecutarlos.
Posee su propio motor IRC (Internet Chat Relay) y a través del puerto TCP 6667 provoca un exceso de tráfico al comunicarse con diversos servidores.
Agrega, Borra o lista Servidores de Red.
Cancela las conexiones y ejecuta comandos en forma remota.
Intenta ocasionar ataques DoS con comandos de saturación TCP, UDP, SYN y PUSH.

PER ANTIVIRUS® versión 8.5 con registro de virus al 12 de Febrero del 2004 detecta y elimina eficientemente este gusano/backdoor.