Mofei.C

MOFEI.C, gusano/troyano/backdoor destructivo infecta Redes compartidas, colapsa memoria de los sistemas.

Win32/Mofei.C, Troj/Backdoor/Mofei.C

Mofei.C es un gusano destructivo con funciones de troyano/backdoor reportado el 14 de Julio del 2003, que se propaga en Redes de recursos compartidos con contraseñas débiles, con un archivo ladsvr32.exe, que actuando como "dropper" libera sus componentes.

Aprovecha las vulnerabilidades de los recursos Admin$ e IPC$ y si logra ingresar a un sistema crea una cuenta administrativa para el usuario "Lasvr32", con todos los privilegios

Usa los puertos TCP 1080 (Socks) o 8080 (HTTP alternativo), para recibir o enviar información al hacker.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, sin embargo se propaga únicamente en Windows NT/2000/Server 2003. Está desarrollado en Microsoft Visual C++ con extensiones variables y comprimido con el utilitario ASPack para dificultar su desensamblaje:

http://www.aspack.com

Al ingresar a un sistema en Windows NT/2000/XP libera en el directorio %Windir% los siguientes archivos:

lasvr32.exe (el gusano en sí)
lasvr32.dll (librería componente DLL del gusano)
mofei.cfg (contiene su configuración en forma encriptada)

Al liberar estos archivos el gusano se ejecuta como un servicio y al no tener una rutina de control de ejecución se activa en memoria en repetidas oportunidades, disminuyendo la memoria RAM del sistema infectado.

Luego este gusano inserta su código viral en el programa LSASS.EXE y ejecuta su propio servicio como "Smart Card Helper", imitando al un verdadero servicio del mismo nombre.

Comprueba entonces si está presente el servicio Smart Card. Si es así, modifica la correspondiente entrada en el registro para que el servicio apunte a su copia:

[ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SCardDrv]
"ImagePath" = "%System%\lasvr32.exe -v"

De este modo el registro apunta originalmente al verdadero SCARDSVR.EXE, pero modificado para apuntar a LASVR32.EXE.

Al estar activo en la memoria el gusano se conecta, con determinados intervalos, a las siguientes direcciones, a través de los puertos 1080 o 8080:

google.ods.org
windowsupdate.daemon.sh

En Windows 95/98/Me el gusano libera en la carpeta %System% los siguientes archivos:

navpw32.exe (el gusano en sí)
mofei.cfg
mofei.id (archivo de identificación del gusano)
mofei.mis
lasvr32.exe (copia del gusano)
lasvr32.dll (librería componente DLL del gusano)

Y para ejecutares la próxima vez que se inicie el sistema crea la llave de registro:

[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run]
" NavAgent32" = "%System%\lasvr32.exe -v"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Luego el gusano intenta propagarse en las Redes aprovechando la vulnerabilidad de los recursos compartidos Admin$ e IPC$:

NOTA: Un intruso puede establecer una comunicación válida con el servidor, conectándose al IPC$ como null, sin necesidad de introducir el nombre del Usuario o la Clave de Acceso.

Para ello utiliza el siguiente comando:

C:\>net use \\[IP_del_equipo]\IPC$ "" /user:""

ADMIN$ es el recurso que utiliza el sistema durante la administración remota de los equipos, siendo siempre su ruta de acceso la Raíz del sistema.

El gusano intenta identificar a sus víctimas generando una lista de direcciones IP más alguna otra dirección IP contenida en su propio código. A continuación intenta conectarse a las máquinas que se encuentren en esas direcciones. Si hay conexión, intentará entrar en ellas como administrador usando los siguientes passwords predefinidos:

Asimismo intenta conectarse a la Red como Administrador usando la siguiente lista de Claves de Acceso:

stgzs
security
super
oracle
secret
root
admin
password
passwd
pass
88888888
888888
00000000
000000
111
11111
111111
111
fan@ing*
54321
654321
12345678
1234567
123456
12345
1234
123
12

Estas palabras pueden ser usadas indistintamente como Usuario o como Administrador.

Si logra conectarse, el gusano copia los siguientes archivos en las rutas:

\\IP_del_equipo_remoto\ADMIN$\System32\Lasvr32.exe
\\IP_del_equipo_remoto\ADMIN$\System32\MoFei.VER
\\IP_del_equipo_remoto\IPC$\System32\Lasvr32.exe
\\IP_del_equipo_remoto\IPC$\System32\MoFei.VER

Luego ejecuta Lasvr32.exe y crea una cuenta con su nombre, con el parámetro -v, la misma que será agregada al grupo local de Administradores.

El gusano también inserta copias de su código viral en forma de "hilos remotos" en los archivos EXPLORER.EXE y LSASS.EXE. Este último es un proceso de autenticación de seguridad local en servidores con tecnología NT.

Actuando como Backdoor puede ejecutar en forma remota los siguientes comandos en los equipos locales:

? - show help message
Ver - show version
Exit - exit this program
Passwd - change password
Port - change port
Cmd - get Windows command shell
Run - runs a command
Pwd - get current directory
Cd - change directory
Dir - list files
Del - delete a file
Mkdir - make new directory
Rmdir - remove a directory
Exec - exec a DOS command
Wget - Download Internet file
Bind - bind a port
Bindoff - close bind

Sus payloads son los siguientes:

Infecta los sistemas en forma directamente con un archivo que libera componentes y se instala en memoria.

Por ausencia de un mecanismo de control de ejecución en memoria RAM, puede colapsar el sistema.

Aprovecha las vulnerabilidades de los recursos compartidos Admin$ e IPC$.

Se propaga e infecta a través de Redes Locales con recursos compartidos y estaciones remotas.

Genera una cuenta "Lasvr32" con privilegios de Administrador y sin Password, comprometiendo la seguridad del sistema.

Usa los puertos 1080 o 8080 para intercambiar información entre el sistema remoto y el hacker.

Puede actualizarse conectándose con el hacker a través de estos puertos.

Captura información de la configuración del servidor y de las estaciones de trabajo.

Captura teclas digitadas por el usuario.

Roba claves de acceso y números de tarjetas de crédito.

Ejecuta comandos en forma remota.

Toma el control remoto de los archivos, programas de los sistemas infectados.

Activa y desactiva el equipo, lo suspende o apaga.

Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versiones 8.1 y 8.2 actualizados al 14 de Julio del 2003, detectan y eliminan eficientemente este gusano/troyano/backdoor.