|
OPANKI.AD gusano/backdoor de Messenger e IRC descarga troyano termina procesos deshabilita firewall, etc.
|
|
(c) Jorge Machado Lima-Perú
|
|
W32.Opanki.AD, I.worm.Opanki.AD
|
|
Opanki es un destructivo gusano/backdoor reportado el 14 de Octubre del 2005, que se propaga masivamente a través de las listas de contactos del MSN Messenger, haciendo uso de las las funciones de las librerías que
provee el propio Microsoft Messenger y una llave de registro.
Libera una variante del troyano Rootkit, deshabilita los servicios relacionados a compartimiento de archivos y seguridad, el firewall, descarga y ejecuta en memoria un archivo .BAT con código maligno termina varios importantes procesos del sistema. Abre un Backdoor
se conecta y une a un IRC (Internet Relay Chat) desde el cual recibirá comandos e instrucciones en forma remota.
|
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con una extensión de 46 KB y comprimido con el
utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Al ejecutar el archivo se copia a la carpeta %System% como de Lockx.exe, libera además a esa misma carpeta el archivo MSDIRECTX.SYS que es una variante del troyano ROOTKIT.
Para ser ejecutado la próxima vez que se re-inicie el sistema agrega las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"stratas" = "%System%\lockx.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"stratas" = "%System%\lockx.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"stratas" = "%System%\lockx.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente re-inicio esconde su proceso de la barra de tareas de Windows y captura las direcciones de la Libreta de Contactos de MSN Messenger usando la llave de registro:
[HKEY_CURRENT_USER\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service]
y envía un mensaje conteniendo el siguiente enlace:
http://CrazyPitures.net/[removido].php
El gusano libera y ejecuta el archivo XZ.BAT en el directorio raíz C:\ y termina los siguientes procesos:
- Security Center
- SharedAccess
- Windows Firewall
- Internet Connection Sharing (ICS)
Deshabilita por completo el firewall del sistema infectado creando la llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
EnableFirewall = "dword:00000000"
Actuando como Backdoor hace uso de puertos TCP aleatorios que se encuentren abiertos se conecta a un servidor IRC (Internet Relay Chat) y se une a un canal cifrado, desde el cual recibirá comandos e
instrucciones en forma remota, tales como:
- Descargar y ejecutar archivos con códigos malignos.
- Conectarse o desconectarse al servidor.
- Saturar el cache del DNS.
- Generar un nuevo "nick" de usuario, en forma aleatoria.
- Actualizarse a sí mismo.
PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 14 de Octubre del 2005, detecta y elimina este gusano/backdoor.
