|
Troj/Backdoor/Idealbot
 |
IDEALBOT es un nocivo troyano/backdoor reportado el 15 de Enero del 2004, que infecta a través de cualquier puerto TCP o UDP que se encuentre abierto, descargando desde una lista de direcciones URL archivos nocivos, entre ellos el troyano Ldpinch.C, el cual roba contraseñas de los sistemas infectados y las envía a una dirección de Correo que se encuentra cifrada dentro del código del virus. |
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en Visual C++, con una extensión de apenas 16 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Una vez ingresado a los sistemas copia a la carpeta %System% con el archivo de nombre System.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave de registro.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ssgrate.exe" = "%System%\System.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente podrá tomar el control de los mismos.
Al siguiente inicio del equipo el troyano termina los procesos de actualización de algunos antivirus:
Actuando como Backdoor el troyano abre el puerto TCP 39999 (no asignado), para conectarse a los sistemas y establecer conexiones a una larga lista de direcciones web de Internet, desde una de las cuales descargará el troyano Ldpinch.C copiándolo a la carpeta %System% con el nombre de Sagebox.exe.
Los payloads de este troyano/backdoor son los siguientes:
PER ANTIVIRUS® versión 8.4 y 8.5 con registro de virus al 15 de Enero del 2004 detecta y elimina eficientemente este troyano/backdoor.
