W32/Troj/Backdoor/Deloder

Deloder es un peligroso gusano y troyano/backdoor reportado el 10 de Marzo del 2003, en la China y que rápidamente se está propagando al resto del mundo. Infecta con 2 archivos, transmitidos por el freeware utilitario PSEXEC desarrollado por Sysinternals e ingresa a los sistemas con una variedad de passwords.   Usa el puerto TCP 445, infecta y deshabilita unidades de disco de Redes compartidas.

El puerto 445 es usado por el SMB (Server Message Block) en Windows 2000, XP y Server 2003 para compartir archivos y este gusano precisamente deshabilita los recursos "ocultos" compartidos tales como:

• Admin$
• C$, D$
• Share$
• Etc.

La muestra obtenida fue enviada desde Taiwan (+8 GMT) 

Una vez dentro de un sistema, el gusano libera una copia de sí mismo, con el nombre Dvldr32.exe y del Backdoor INST.EXE procediendo a propagarse a través de todas carpetas y sub-carpetas compartidas en unidades de disco de las redes locales, tomando el control de los sistemas, incluyendo servidores.

Es un PE (Portable Ejecutable) e infecta Windows 2000/XP y el Server 2003 incluyendo sus servidores. Está desarrollado en Visual C++ con una extensión de 728.5 KB y no está comprimido.

Para activarse la siguiente vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
messnger = "%Ruta_del_gusano%\Dvldr32.exe"

%Ruta_del_gusano% es la ubicación desde donde se ejecuta. Se asemeja a la variable %System% debido a que a este gusano infecta equipos remotos liberando y ejecutando sus copias en esta carpeta.

%System% es la variable C:\Winnt\System32 para Windows 2000 y C:\Windows\System32 para Windows XP.

Crea un mutex de sí mismo, denominado testXserv, el cual es ejecutado en memoria para evitar la generación de múltiples auto-copias en el sistema o en la memoria de Windows.

Un mutex es un programa objeto usado para permitir el acceso a un recurso compartido, mas no en forma simultánea.

El gusano intenta conectarse a los sistemas remotos como Administrador usando cualquiera de las siguientes claves de acceso: 

• 000000
• 00000000
• 111111
• 11111111
• 121212
• 123123
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234qwer
• 123abc
• 123asd
• 123qwe
• 54321
• 654321
• 88888888
• abc123
• Admin
• admin
• admin123
• administrator
• alpha
• computer
• database
• enable
• foobar
• godblessyou
• ihavenopass
• Internet
• Login
• login
• mypass
• mypc123
• oracle
• owner
• passwd
• Password
• password
• patrick
• pw123
• secret
• server
• super
• sybase
• temp123
• test123
• ypass123 

Si logra conectarse, el gusano libera una copia de sí mismo y se ejecuta en la carpeta %System% con el nombre de Dvldr32.exe y el archivo Backdoor inst.exe, ambos con el atributo de "solo-lectura" y éste último se copia a las siguientes rutas vinculadas al Inicio del sistema: 

\\%s\C$\WINNT\All Users\Start Menu\Programs\Startup\ 
\\%s\C\WINDOWS\Start Menu\Programs\Startup\ 
\\%s\C$\Documents and Settings\All Users\Start Menu\Programs\Startup\ 

%s es el nombre del equipo en las redes.

El poseedor del Backdoor Cliente podrá tomar el control de los sistemas infectados.

Los payloads de este gusano/troyano/backdoor son los siguientes:

• Captura información de la configuración del servidor y de las estaciones de trabajo.
• Control de Acceso Remoto de los archivos y programas de los sistemas infectados.
• Puede ejecutar archivos o comandos en forma remota.
• Infecta y deshabilita los recursos "ocultos" compartidos de las redes. 

PER ANTIVIRUS® versión 7.9 con registro de virus al 10 de Marzo del 2003 detecta y elimina  eficientemente este troyano/backdoor. 

Nota: existe una diferencia de 13 horas entre Perú (-5 GMT) y Taiwan (+8 GMT)