Grobodor

GROBODOR, destructivo troyano/backdoor, toma control absoluto de los sistemas atacados.

Troj/Backdoor/Grobodor

Grobodor es un troyano/backdoor reportado el 10 de Junio del 2003, que ingresa por defecto a través del puerto TCP 31332, pudiendo elegir cualquier otro que se encuentre abierto, con el archivo MSDRV32.exe y se conecta a servidores remotos infectando archivos en unidades de red con recursos compartidos.

El puerto 31332 no se encuentra asignado en la Tabla del IANA (Internet Assigment Numbers Authority), pero puede reemplazar al puerto HTTP 80, entre otros.

El autor de este troyano/backdoor puede haber utilizado un simple comando Telnet o cualquier Rastreador de Puertos, de los muchos que se distribuyen gratuitamente en portales de hackers y crackers.

Una vez ingresado a un sistema, el hacker poseedor del software Cliente tomará el control remoto del sistema infectado, robando passwords y ejecutando una variedad de acciones y nocivas o destructivas.

Es un PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Borland Delphi con una extensión de 70 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado a un sistema, el troyano se auto-copia al directorio %Windir% como MSDRV32.exe y para ejecutarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"System drivers" = "%Windir%\MSDRV32.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System drivers" = "%Windir%\MSDRV32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para el mismo propósito de auto-activación en Windows 95/98/Me el troyano modifica la entrada "run" del WIN.INI en Windows:

WIN.INI
[windows]
run=C:\%Windir%\MSDRV32.exe

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente podrá tomar el control de los mismos.

Los payloads de este troyano/backdoor son los siguientes:

Ingresa a través del puerto 31332 o cualquier otro que se encuentre abierto.
Captura la información de la configuración del servidor y de las estaciones de trabajo.
Captura teclas digitadas por el usuario.
Roba claves de acceso y números de tarjetas de crédito.
Activa archivos, programas y procesos de los sistemas atacados
Activa y desactiva el equipo, lo suspende o apaga.
Renombra o borra archivos.
Formatea el disco duro.

PER ANTIVIRUS® versión 8.1 con registro de virus al 10 de Junio del 2003 detecta y elimina eficientemente este troyano/backdoor.