Nibu

NIBU, troyano/backdoor roba contraseñas de Windows, ICQ, WebMoney, causa diversos estragos.

Troj/Backdoor/Nibu

Nibu es un destructivo troyano/backdoor reportado el 31 de Julio del 2003, que ingresa a los sistemas través de cualquier puerto que se encuentre abierto, con un archivo de nombre Dllreg.exe, cuya extensión es variable.

Al ser activado abre los puertos TCP 1000, (cadlock2), 1001 (Sabserv) y 2283 (LNVSTATUS)

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

El hacker poseedor del software Cliente tomará el control remoto del sistema infectado, robará las contraseñas de Windows, basado en las pulsaciones de las teclas digitadas, la información de transacciones de dinero del sistema WebMoney y podrá ejecutar una variedad de acciones y estragos.

También se conectará a un canal del IRC (Internet Chat Relay) o enviará información a determinadas direcciones de correo que se encuentran fuertemente encriptadas dentro de su código viral.

Cuando el archivo es ejecutado se auto-copia a las siguientes rutas con los nombres de archivos:

%Windir%\Dllreg.exe
%Windir%\Windrive.exe
%Windir%\Guid32.dll (capturador de pulsaciones del teclado)
%System%\Vxdmgr32.exe
%System%\Load32.exe
%Startup%\Rundllw.exe

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

Para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load32" = "%System%\load32.exe"

El gusano modifica el archivo WIN.INI para activarse al reiniciarse en Windows 95/98/Me:

WIN.INI
[windows]
run = %Windir%\dllreg.exe

Igualmente lo hace con el SYSTEM.INI:

SYSTEM.INI
[windows]
shell = explorer.exe %System%\vxdmgr32.exe

El troyano abrirá los puertos 1000, 1001 y 2283 para conectarse con el hacker poseedor del software Cliente, al cual le enviará la información capturada o recibirá del mismo instrucciones o comandos, en forma remota. También se conectará a un canal del IRC (Internet Chat Relay) dentro de una lista de servidores Chat que se encuentra encriptada dentro de su código y a través del cual hará lo propio.

Los payloads de este troyano/backdoor son los siguientes:

Ingresa vía Telnet través de cualquier puerto que se encuentre abierto en los sistemas.
Puede usar cualquier otro servicio de Internet o un Rastreador de Puertos (Port Scanner)
Modifica el registro de Windows.
En Windows 95/98/Me modifica el WIN.INI y el SYSTEM.INI.
Registra las teclas digitadas en el teclado.
Captura la información de los archivos PWL donde Windows almacena las contraseñas.
Captura información de WebMoney.
Captura datos del portapapeles.
Captura información de ICQ.
Envía la información al hacker poseedor del software Cliente a través de los puertos 1000, 1001 y 2283.
También se conecta a un canal del IRC (Internet Chat Relay) al cual enviará información.
Además envía la información capturada a ciertas direcciones de correo electrónico.
Ejecuta y controla remotamente archivos, programas, procesos, etc.
Controla en forma remota los sistemas infectados.
Abre/Cierra la bandeja de la unidad de CD-ROM.
Ejecuta un archivo de sonido con extensión .WAV
Formatea el disco duro.

PER ANTIVIRUS® versiones 8.1 y 8.2 con registro de virus al 31 de Julio del 2003 detectan y eliminan eficientemente este troyano/backdoor.