Janx

JANX, destructivo troyano/backdoor aprovecha vulnerabilidad LSASS usa puertos TCP y servidor IRC, etc.

Jorge Machado Lima-Perú

Troj/Janx

Janx es un troyano/backdoor reportado el 13 de Diciembre del 2004, que ingresa a los sistemas aprovechando la vulnerabilidad LSASS detallada en el boletín MS04-011 y se propaga buscando en forma aleatoria otras direcciones IP que tengan la misma vulnerabilidad.

Usa los puerto TCP 445, 5533 y 5534.

Se conecta al IP 203.167.78.35 un servidor IRC (Internet Chat Relay) que pertenece a un servicio privado de Mensajería (iPlanet.com) correspondiente a Sun MicroSystems, desde el que recibirá instrucciones en forma remota del atacante.

Llama poderosamente la atención que, a pesar que el boletín MS04-011 fuera emitido el 12 de Abril del 2004 y actualizado el 10 de Agosto de este mismo año, aún millones de usuarios en el mundo no han descargado los parches correspondientes contra esta crítica vulnerabilidad.

Los sistemas afectados son:

Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 y Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP y Microsoft Windows XP Service Pack 1
Microsoft Windows XP Edición 64-Bits Service Pack 1
Microsoft Windows XP Edición 64-Bits Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Edición 64-Bits
Microsoft NetMeeting
Microsoft Windows 98, Microsoft Windows 98 Segunda Edición (SE) y Microsoft Windows Millennium.

Este troyano/backdoor infecta únicamente a los sistemas Windows 2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en MS Visual C++ con apenas 13 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado a un sistema se auto-copia al directorio %Windir% con los siguientes nombres:

upnphost.exe
pnphost.exe
winpnp.exe

Crea el servicio:

Nombre del Servicio: WUClient
Nombre Mostrado: Windows Update Client

Actuando como Backdoor abre el puerto TCP 5533 (SGI Eventmond) y se conecta al servidor FTP a través del cual se propagará a otros sistemas que no estén actualizados con los parches correspondientes.

Haciendo uso del puerto TCP 445 (Microsoft-DS) intenta propagarse a direcciones IP generadas aleatoriamente. De lograr conectarse, el virus envía un código oculto que permitirá controlar remotamente al sistema vulnerado a través del puerto TCP 5534.

Captura información del sistema, nombres de usuarios, contraseñas que envía al atacante y ejecuta comandos en forma remota.

El parche para la vulnerabilidad LSASS puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

PER ANTIVIRUS® versión 9.0 con registro de virus al 13 de Diciembre del 2004 detecta y elimina eficientemente este troyano/backdoor.