|
FRUTCA, troyano roba información passwords controla remotamente sistemas manipula conexiones ADSL.
|
|
© Jorge Machado Lima-Perú
|
|
Troj/Frutca
|
|
Frutca es un troyano reportado el 07 de Diciembre del 2004, que ingresa a los sistemas través de cualquier puerto abierto, vía Telnet o cualquier servicio de Internet, con un
archivo de nombre aleatorio con extensión .EXE que se ejecuta en memoria y como "dropper" libera varios archivos con atributo de "oculto" en diversas rutas del sistema.
Una vez ingresado a un sistema, el hacker toma el control remoto del sistema infectado, roba la información del sistema, passwords y manipula las conexiones ADSL.
|
Se activa cada vez que se ejecutan archivos con extensiones .TXT, .PDF y .RAR
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003
Está desarrollado en MS Visual C++ y comprimido con el utilitario ASPack:
http://www.aspack.com
Una vez ingresado a un sistema se auto-copia a las siguientes rutas, con atributos de "oculto" y nombres:
- %Archivos de programa%\WinRAR\_RarExt.exe
- %System%\_textpad.exe
- %System%\svchosts.exe
libera en la carpeta %System% los siguientes archivos:
- kernell32.dll
- avmtapi.tsp
- system.dll
Ejecuta el archivo kernell32.dll dentro de los procesos que se encuentren ejecutándose y para activarse la siguiente vez que se inicie el sistema agrega el siguiente valor:
"®Windows Update" = "svchosts.exe"
a las llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Adicionalmente modifica las siguiente llaves,
con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .TXT:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open]
"default" = "%System%\_textpad.exe" "%1"
y para activarse cada vez que se abra un archivo .PDF:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcroExch.Document\shell\open]
"default" = "ruta_a_AcroRd32.exe\_Reader32.exe" "%1"
para activarse cada vez que se abra un archivo .RAR:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinRAR\shell\open]
"default" = "ruta_a_WinRAR.exe\_RarExt.exe" "%1"
Para ejecutar un driver CAPI agrega los siguientes valores:
"ProviderID5" = "0x00000006"
"ProviderFileName5" = "avmtapi.tsp"
"AllProviders" = "true"
a la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony\Providers]
El driver CAPI permite el uso del controlador AVM ADSL, como adaptador en las conexiones de discado (Dial-Up) en Windows
95/98/Me/NT/2000/XP para manipular las conexiones ADSL.
El troyano monitorea todos los procesos en ejecución y termina en forma aleatoria alguno de ellos.
Captura información del sistema, nombres de usuarios y contraseñas enviándoselas al atacante en forma remota.
PER ANTIVIRUS® versión 9.0 con registro de virus al 07 de Diciembre del 2004 detecta y elimina
eficientemente este troyano.
