Nibu.O

NIBU.O troyano/backdoor roba información contraseñas las envía a una dirección de correo cifrada bloquea acceso a sitios web, etc.

Troj/Nibu.O

Nibu.O es un troyano/backdoor residente en memoria reportado el 11 de Octubre del 2005, que ingresa furtivamente a los sistemas a través de cualquier puerto TCP que se encuentre abierto. Activa un componente Keylogger y roba información que envía por correo a una dirección de correo cifrada.

Manipula el archivo HOSTS para impedir el acceso a sitios web de sistemas de seguridad.

Roba información relacionada a cuentas de correo, usuarios y contraseñas recuperadas por algunos programas especializados, de origen ruso.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 76.5 KB y comprimido con el utilitario FSG:

http://www.exetools.com

Al ingresar a un sistema se copia a la carpeta %System% como winldra.exe y libera al directorio %Windir% los siguientes archivos:

%Windir%\dvpd.dll
%Windir%\prntsvra.dll
%Windir%\winsms.dll
%Windir%\TEMP\fe43e701.htm

y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"load32" = "%System%\winldra.exe"

para almacenar la información capturada crea la llave:

[HKEY_CURRENT_USER\Software\SARS]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio esconde su ejecución de la barra de tareas de Windows y ejecuta las siguientes acciones:

para controlar el comportamiento del Internet Explorer agrega los valores::

"Append Completion" = "yes"
"AutoSuggest" = "yes

a la sub-llave de registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete]

y para deshabilitar el Firewall de Windows crea la sub-llave::

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
"Start" = "3"

activa su componente Keylogger que captura las teclas digitadas, cada vez que el sistema se conecta a un sitio en la web que tenga cualquiera de las siguientes cadenas o nombres de dominio:

anz
ANZ
Bank
bank
bet
Bet
bill
Bill
bookmak
Bookmak
bull
Bull
cash
casino
Casino
ebay
e-metal
Fethard
fethard
fund
Fund
gold
invest
Invest
Keeper
login
Login
member
Member
Money
money
mull
pay
Pay
PayPal
shop
Shop
Storm
TAN
WM Keeper

monitorea los datos enviados por el Internet Explorer en formularios web y guarda la información en los siguientes archivos:

%Windir%\netdx.dat
%Windir%\cmdid.dat
%Windir%\socks.dat
%Windir%\prntk.log
%Windir%\url.dat

roba además información relacionada a cuentas de correo, usuarios y contraseñas recuperadas por determinados programas:

Versión del sistema operativo
Versión del Internet Explorer
Contraseñas de FTP recuperadas por Far Manager
Contraseñas de Total Commander FTP
Contraseñas de The Bat passwords
Datos potegidos almacenados
Dirección IP del sistema infectado

monitorea la pizarra y guarda cualquier información en el archivo:

%Windir%\prntc.log

verifica la extensión de los archivos que almacena y cuando llegan a una determinada longitud, haciendo usos de su propio motor SMTP éstos son enviados a una dirección de correo cifrada.

Abre un Backdoor a través del puerto TCP 39780 desde donde recibirá instrucciones en forma remota del intruso.

intenta enviar toda la información extraída a los siguientes sitios en la web ubicados en Austria:

http://www.wlm.at/[Removido]/logger.php (actualmente remivido)
http://www.wlm.at/[Removido]/socks.php (actualmente remivido)

finalmente modifica el archivo HOSTS para impedir el acceso a las siguientes direcciones:

127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 us.mcafee.com/root/
127.0.0.1 www.symantec.com

PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 11 de Octubre del 2005 detecta y elimina eficientemente este troyano/backdoor.