Eboscro

EBOSCRO troyano/backdoor de Internet se aloja en discos removibles ejecuta comandos remotos arbitrarios.

W32/Eboscro

Eboscro es un destructivo troyano/backdoor reportado el 06 de Noviembre del 2006, que se propaga a través de diversos servicios de Internet, principalmente visitando páginas web infectadas.

Infecta el sistema, desestabiliza la seguridad del sistema y se aloja en discos removibles en caso de estar instalados, en servidores, estaciones de trabajo o PCs.

Se conecta a través del puerto TCP 8111 a un portal web, desde donde recibirá instrucciones y ejecutará comandos arbitrarios en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en Borland Delphi, con una extensión de 475KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse se copia a la carpeta %System% con uno de los siguientes nombres:

hdcu.exe
explore.exe
aKiller.dll

y para ejecutarse la próxima vez que se re-inicie el sistema agrega la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShellEffect" = "%System%\iexplore.exe"

crea además las llaves de registro:

HKEY_CLASSES_ROOT\aKiller.TAdKillerBHO
HKEY_CLASSES_ROOT\CLSID\{A692062A-11A1-461B-BE98-B987F01F96FC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{A692062A-11A1-461B-BE98-B987F01F96FC}

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano desestabiliza la seguridad del sistema terminando los siguientes procesos de programas de seguridad:

sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

Libera copias de sí mismo en las unidades de disco removibles:

[Unidad]:\escro.exe
[Unidad]:\autorun.inf

Actuando como Backdoor a través del puerto TCP 8111 se conecta al URL eboss.3322.org desde el cual intrusos podrán ejecutar comandos e acciones arbitrarias en forma remota, tales como:

Robar la información del sistema
Descargar y ejecutar archivos con códigos malignos
Capturar las cadenas resultantes del Global Input Método Editor (IME) que capturar caracteres y simbologías de cualquier clase.
Monitorear las actividades del Internet Explorer
Capturar pantallazos del sistema infectado

PER ANTIVIRUS® versión 9.9 con registro de virus al 06 de Noviembre del 2006 detecta y elimina este troyano/backdoor.