W32/Focelto

El gusano se ejecuta en segundo plano y su componente Backdoor se conectará a un servidor del IRC (Internet Chat Relay) uniéndose a un canal de Chat desde el cual ejecutará acciones arbitrarias en forma remota, captutando además información crítica del sistema. 

Es un Portable Ejecutable que infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 118KB y comprimido con rutinas propias.

Una vez ingresado, el gusano se copia a la siguiente ruta con el nombre de archivo:

• %System%\dllcache\sygate.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\[RANDOM CLSID]]
"stubpath" = "%System%\dllcache\sygate.exe s"

Y libera los siguientes componentes Rootkit, generados con el Hacktool.Rootkit:

• %System%\oddysee.exe
• %System%\ntoskrnl.exe:kernel 

El valor kernel es un Alternate Data Stream (ADS) insertado dentro del archivo ntoskrnl.exe y que es sobre-escrito por el gusano.

El archivo ntoskrnl.exe es un importante componente del sistema en los programas de Inicio de Windows y que no se muestra en la Barra de Tareas por tener el atributo de "oculto".

El gusano crea la siguiente sub-llave para registrar su componente Rootkit como un servicio:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Oddysee]

Nombre del Servicio: Oddysee
Ruta de Imagen: %System%\ntoskrnl.exe:kernel
Start: 3
Type: 1

Al siguiente inicio del equipo activa sus Rootkits que actúan en forma oculta, cambian aleatoriamente de ubicación en las carpetas e incluso en las unidades de disco lógicas, para evitar ser detectados fácilmente por los software antivius.

Esconden archivos, procesos y sub-llaves de registro enganchándose a las siguientes funciones del sistema:

• ZwQuerySystemInformation
• ZwEnumerateKey
• ZwEnumerateValueKey

El gusano ejecutará sus funcionabilidades de Rootkit al insertar su código en el Explorador de Windows y el Internet Explorer.

Para almacenar la información capturada crea los siguientes archivos:

• %Userprofile%\rgst152.dat
• %Userprofile%\Application Data\addon.dat
• %System%\dllcache\klog.dat

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

Y a continuación genera sus componentes descargadores de archivos en las unidades de disco de la C:\ a la Z:\:

• [Unidad_de_disco]\Foto_celular.scr
• [Unidad_de_disco]\Foto_celular.zip

También crea una copia de si mismo en la ruta:

• %System%\backsys.sys

El archivo Foto_celular.scr es enviado a los contactos de programas de mensajería instantánea, tales como MSN Messenger, Yahoo Messeger, AOL, etc. que se encuentren instalados en los sistema infectados, invitándolos a descargar una copia de sí mismo desde un sub-dominio de un sitio web que ha sido vulnerado.

Intenta conectarse a otro sub-dominio de un sitio web diferente, también vulnerado.

Finalmente activa su componente Backdoor y se conecta a través de cualquier puerto TCP abierto a un servidor IRC (Internet Chat Relay) y une a un canal de Chat desde el cual ejecutará las siguientes acciones:

• Descargar, ejecutar archivos con códigos arbitrarios
• Capturar y enviar información del sistema al intruso
• Capturar direcciones de correo, usuarios y contraseñas
• Iniciar o detener servicios
• Capturar la digitación de teclas
• Activar y ejecutar un servidor FTP
• Activar y ejecutar un servidor Proxy
• Controlar el sistema en forma remota.

PER ANTIVIRUS® versión 10.2 con registro de virus al 19 de Septiembre del 2007 detecta y elimina este gusano/backdoor.