|
OPTIX PRO 1.2b, destructivo troyano/backdoor, toma control absoluto de los sistemas
atacados.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Optix
Pro 1.2b
Optix Pro 1.2b es
un destructivo troyano/backdoor
liberado y reportado el 26 de Marzo
del 2003, creado por los hackers alemanes s13az3, xMs y J3N7iL.
http://www.evileyesoftware.com (actualmente
clausurada)
Constituye un gravísimo
peligro, que este software
se encuentre al alcance de cualquier usuario y pueda ser descargado del
sitio web de este grupo, el cual actúa en forma impune en Internet desde
hace algunos años.
Es un PE
(Portable
Ejecutable) y ataca a Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/XP,
está desarrollado en Borland Delphi
y parcialmente comprimido con el utilitario
UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
Después de ingresado a un sistema por cualquiera de los servicios de
Internet, tales como Telnet, Correo, FTP, HTTP, Peer to Peer, Chat, etc., permite un completo acceso y control al hacker poseedor del software
Cliente.
Por defecto, abre el puerto 2060, sin embargo puede ser configurado
con cualquiera de los 65535
puertos
TCP existentes.
Al ser ejecutado este troyano se auto-copia al directorio %Windir%
y la carpeta %System% con el nombre de
archivo asignado como Servidor. Para activarse la próxima vez que se
re-inicie el sistema modifica las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default =
"%Windir%\nombre_de_archivo_del_troyano.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
default =
"%System%\nombre_de_archivo_del_troyano.exe"
El troyano además modifica la siguiente llave, agregando el nombre
asignado en reemplazo del Server.exe, con el propósito de activarse cada
vez que se ejecute cualquier archivo con extensión .EXE.
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%System%\nombre_de_archivo_del_troyano.exe
"%1" %*
Modifica la línea Run del archivo WIN.INI para activarse al reiniciarse
Windows 95/98/Me:
WIN.INI
[windows]
run=%Windir%\nombre_de_archivo_del_troyano.exe
Modifica la línea Shell del archivo SYSTEM.INI para activarse al
reiniciarse Windows 95/98/Me:
SYSTEM.INI
[windows]
shell=[contenido original] %System%\nombre_de_archivo_del_troyano.exe
Por defecto emplea el puerto 2060 pero puede ser cambiado por cualquiera de
los puertos TCP existentes.
Optix Pro 1.2b tiene los siguientes componentes:
Editor.exe: de 360 KB
- Configura el Puerto del servidor a ser atacado.
- Habilita o deshabilita una Clave de
Acceso y la enmascara.
- Capacidad de auto-destruir el Servidor
si es editado.
- Modifica el registro de MS Windows.
- Modifica el archivo WIN.INI
- Modifica el archivo SYSTEM.INI
- Define su instalación en el directorio
%Windir% o %System%
- Define o renombra el nombre del
Servidor.
- Extrae la información del sistema,
direcciones de correo, passwords, etc. vía Messenger, ICQ o IRC.
- Notifica vía el IRC
- Notifica vía el ICQ
- Notifica a la dirección de correo
configurada por el hacker.
- Genera un falso mensaje de error.
- Deshabilita procesos de antivirus y
firewalls.
- Opciones misceláneas.
Su librería interna IB-BUILT Killing
deshabilita los siguientes antivirus y Firewalls:
- Norton AntiVirus
- Sophos AntiVirus
- McAfee Virus Scan
- AVG Anti-Virus 6
- AntiViral Toolkit Pro
- Kaspersky Anti Virus
- Panda Antivirus 6.0 Platinum
- Panda Antivirus
- Ants
- Anti-Trojan
- WinRoute
- The Cleaner
- AntiVirus ExPert 2000 (AVX)
- AVG Anti-Virus 6
- pc-cillan 98
- PCCWIN98.EXEpc-cillan 98
- pc-cillan
- trojan defence suit 3
- PC Door Guard 2
- RAV 7
- TrendMicro OfficeScan
- Norman AVS
- InoculateIT Personal Edition
- Inoc DOSSCANNER
- G-Data AntiVirenKit (alemán)
- F-Secure Anti-Virus for Windows 95
- F-Secure Anti-Virus for Windows
- Spy X
- AT AVS
- German Process Viewer
- Doctor Solomon AVS
- Lockdown Pro
- T-FAK Trojan Remover
- Neolog
- Cheyenne AntiVirus
- VirusBuster
- Panda Titanium
- Wild file goback
- AntiVir (German)
- Acceleration Software AV
- WinXP Firewall
- ZoneAlarm
- BlackIce
- Norton Personal Firewall
- McAfee Firewall
- McAfee Internet Security
- ConSeal PC Firewall
- Tiny Personal Firewall
- Lockdown
- Sphinx
- Net Protect
- Sygate Personal Firewall 4.1
- Lockdown Pro
Client.exe: de 581 KB y el hacker que lo
controla puede realizar las siguientes acciones por control remoto, en el sistema
infectado con el software Servidor:
- Muestra un falso mensaje de error.
- Extrae la información del sistema,
direcciones de correo, passwords, etc. vía Messenger, ICQ o IRC.
- Deshabilita procesos de antivirus y
firewalls.
- El sistema puede ser re-iniciado,
suspendo o apagado.
- Puede ser colapsado con una pantalla
azul.
- Sus archivos o programas, procesos,
registros, etc. pueden ser administrados.
- El servicio FTP puede ser controlado.
- Crea cajas de diálogo o mensajes.
- Controla las teclas digitadas.
- Establece acceso a cualquier canal de
Chat.
- Espía el ICQ, AIM, MS Messenger y Yahoo
Instant Messenger.
- Usa su propio servidor de correo SMTP
para enviar mensajes.
- Captura pantallas.
- Captura Cámaras Web.
- Parpadea el teclado.
- Abre o cierra la bandeja del CD o DVD.
- Intercambia funciones de los botones del
mouse.
- Deshabilita/habilita el mouse o
teclado.
- Configura la página de Inicio del
Internet Explorer.
- Se direcciona a un URL o sitio web
definido por el Cliente.
- Muestra u oculta el reloj.
- Enciende y apaga el monitor.
- Activa/desactiva los Salva Pantallas.
- Activa el parlante de la PC.
- Los archivos pueden ser borrados.
- El disco puede ser
formateado.
Server.exe de 886 KB, sin empaquetar,
puede
ser renombrado y comprimido hasta 44.5 KB e ingresa al sistema por cualquier puerto, en forma directamente
asignada o aleatoria.
Tutorial.pdf de 307 KB, en alemán.
Readme.txt de 2.68 KB, en inglés
cgilogger.zip de 21.3 KB, que libera el
troyano SubSeven y puede modificar los
archivos .CGI
Nota: Descargar e instalar este software implica un grave riesgo de ser atacado.
Los payloads
de este troyano/backdoor son los siguientes:
- El sistema puede ser re-iniciado,
suspendo o apagado.
- Puede ser colapsado con una pantalla
azul.
- Extrae la información del sistema,
direcciones de correo, passwords, etc.
- Sus archivos o programas, procesos,
registros, etc. pueden ser administrados.
- Deshabilita procesos de antivirus y
firewalls.
- Descarga y carga archivos.
- Controla el servicio FTP.
- Crea cajas de diálogo o mensajes.
- Controla las teclas digitadas.
- Establece acceso a cualquier canal de
Chat.
- Espía el ICQ, AIM, MS Messenger y Yahoo
Instant Messenger.
- Usa su propio servidor de correo SMTP
para enviar mensajes.
- Captura pantallas.
- Captura Cámaras Web.
- Parpadea el teclado.
- Abre o cierra la bandeja del CD o DVD.
- Intercambia funciones de los botones del
mouse.
- Deshabilita/habilita el mouse o
teclado.
- Configura la página de Inicio del
Internet Explorer.
- Se direcciona a un URL o sitio web
definido por el Cliente.
- Muestra u oculta el reloj.
- Enciende y apaga el monitor.
- Activa/desactiva los Screen Savers.
- Activa el parlante de la PC.
- Los archivos pueden ser borrados.
- El disco puede ser
formateado.
PER ANTIVIRUS®
versión 7.9 y 8.0 con registro de virus al 26 de
Marzo
del 2003 detecta y elimina eficientemente este troyano/backdoor.
Nota: existe una diferencia de 6 horas
entre Perú (-5 GMT) y Alemania (+1 GMT)
