|
Graybird.B, troyano/backdoor roba información, controla remotamente
sistemas, causa diversos estragos.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Backdoor/Graybird.B
 |
|
Graybird.B
es un
destructivo troyano/backdoor
reportado el 11 de Abril del 2003, que ingresa a los sistemas través de cualquier puerto que se encuentre abierto,
vía Telnet, con un
archivo de nombre Svch0st.exe,
de 300 KB de extensión, aunque también puede usar otros servicios
de Internet.
Una vez
ingresado a un sistema, el hacker poseedor del software
Cliente toma el control remoto del sistema infectado, roba
passwords y ejecuta una variedad de acciones y estragos.
|
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003
Está desarrollado en Borland Delphi y
comprimido con el utilitario ASPack, que
ofrece una copia de evaluación, pero que está disponible desprotegida
("craqueada") en diversos sitios de Internet:
http://www.aspack.com
Una vez ingresado a un sistema se auto-copia al
directorio %System% y para
activarse la siguiente vez que se inicie el sistema crea las siguientes llaves
de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost" ="
%System%\Svch0st.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"svchost" ="
%System%\Svch0st.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svchost" ="
%System%\Svch0st.exe"
El troyano adicionalmente modificará la siguiente llave, agregando
Svch0st.exe
con el propósito de activarse cada
vez que se ejecute cualquier archivo con extensión .EXE.
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%System%\Svch0st.exe
"%1" %*
En el los sistemas operativos Windows
NT/2000/XP crea además la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="%system%\svch0st.exe"
En Windows 95/98/Me modifica el WIN.INI agregándole una línea de
comando de ejecución:
WIN.INI
[windows]
run=C:\%System%\%System%\svch0st.exe
%System% es la variable C:\Windows\System
para Windows 95/98/Me, C:\Winnt\System32
para Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
La siguiente vez que se inicie el equipo,
el troyano se activará y capturará los passwords almacenados en todas las
carpetas "Cache" del sistema, la cuales contienen las claves de acceso de discado
telefónico y del módem, de sitios web con acceso restringido, claves de acceso de recursos
compartidos, correo basado en la web, etc.
Los payloads
de este troyano/backdoor son los siguientes:
- Ingresa vía Telnet a través de
cualquier puerto que se encuentre abierto en los sistemas.
- Puede usar cualquier otro servicio de
Internet.
- Modifica los registros de Windows.
- Captura los passwords de las claves de
acceso de discado y del módem, de los URL con acceso restringido,
claves de acceso de recursos compartidos, cuentas de correo basado en
la web, etc.
- Captura la digitación del teclado.
- Captura los nombres de usuarios y sus
claves de acceso (Login)
- Envía la información al hacker
poseedor del software Cliente.
- Instala un servidor FTP que le permite
usar el sistema infectado como un almacenamiento temporal de archivos.
- Ejecuta y controla remotamente archivos,
programas, procesos, etc.
- Descarga o extrae archivos en los
sistemas atacados.
- Manipula la bandeja de la unidad de
CD-ROM.
- Controla en forma remota los sistemas
infectados.
- Formatea el disco duro.
PER ANTIVIRUS®
versión 8.0 con registro de virus al 11 de
Abril
del 2003 detecta y elimina eficientemente este
troyano/backdoor.
