Troj/Krei

Krei es nocivo troyano/backdoor reportado 1o de Febrero del 2003, que ingresa a los sistemas con un archivo de nombre Ipsechlp.dll, a través del puerto TCP o UPD 449 (AS Server Mapper) y libera el troyano Slanret, un dispositivo lógico que toma control y obtiene los privilegios del sistema, al crear una interfaz usada por otros programas, lo que le permite actuar en forma oculta, así como no hacer visibles las llaves de registro que genere o los procesos que ejecute.

Este troyano infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP 

Cabe recordar que un puerto UDP (User Datagram Protocol) es una codificación abstracta de software, no es física como la que controla o direcciona a un puerto USB, por ejemplo. En los protocolos TCP/IP de Internet los sistemas contienen un conjunto de puntos abstractos de destino, cada uno de ellos identificado por un número entero positivo.

El protocolo TCP/IP emplea uno o más puntos para diferenciarlos entre un sinnúmero de procesos de destino, dentro de un servidor. Los servicios de conectividad orientados, tales como el de correo electrónico, usan el protocolo TCP para establecer la conexión específica dentro de los servidores, mientras que otras aplicaciones y servicios pueden hacer uso del protocolo de puertos UDP para transportar los mensajes entre los sistemas.

El troyano Krei emplea la técnica Multi-hilos (multithreading) y cuando su archivo Ipsechlp.dll es ejecutado, automáticamente genera un hilo secundario, el cual emplea el troyano Slanret, que usa el driver ierk8243.sys y crea el servicio IPSEC Helper, que es un protocolo que facilita la comunicación y tráfico entre las direcciones IP públicas a través de los Ruteadores, por medio de una técnica de "túnel". 

Una vez instalado este peligroso troyano, crea el dispositivo "indocumentado" Mp437bba8e, que le permitirá engancharse a muchos servicios, funciones y procesos de Windows y recibir cualquier tipo de instrucciones o comandos del hacker poseedor del Backdoor Cliente.

La manera más simple de evitar su ataque, consiste en bloquear el acceso al puerto 449/TCP y UDP en el Firewall físico (hardware) o lógico (software).

Los payloads de este peligroso gusano son:

• Ataca por medio de servicios Telnet, FTP o HTTP.
• Se propaga a través de servidores, estaciones de trabajo y en redes compartidas.  
• Extrae y envía información del sistema al intruso.
• Substrae o cambia las claves de acceso.
• Ejecuta archivos o programas, anular procesos en ejecución.
• Usa el SMTP del sistema infectado para envío de mensajes de correo.
• Ejecuta conexiones IRC, ICQ o de Mensajería instantánea.  
• Realiza acciones nocivas o dañinas: manipular el mouse, mostrar/ocultar la Barra de Tareas, abrir y cerrar la bandeja del CD, reiniciar la computadora, formatear el disco duro, etc.

PER ANTIVIRUS® versión 7.9 con registro de virus al 1o de Febrero del 2003 detecta y elimina eficientemente este troyano.