|
OPTIX PRO 1.3, destructivo generador de troyanos/backdoor, controla sistemas,
ocasiona múltiples efectos.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Optix
Pro 1.3
Optix Pro 1.3 es
uno de más potentes y destructivos generadores de troyanos/backdoor,
liberado el 22 de Abril del 2003 y reportado el 25 de este mismo mes,
que por defecto,
ingresa a través del puerto 3410 (de Estación Remota), sin embargo puede ser configurado
con cualquiera de los 65535
puertos
TCP existentes.
Su archivo infectado puede ser renombrado y emplear además
cualquier otro servicio de
Internet, tal como ICQ,
Correo, FTP,
HTTP, IRC,
MSM, PHP, etc., y
permitirá un completo acceso y control remoto de los sistemas al hacker poseedor del software
Cliente. Ha sido creado en Alemania por:
http://www.evileyesoftware.com (actualmente
clausurada)
Es un PE
(Portable
Ejecutable) y ataca a Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000,
está desarrollado en Borland Delphi
y parcialmente comprimido con el utilitario
UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
Optix Pro 1.3 tiene los siguientes componentes:
Builder, de 683 KB y que ha reemplazado al Editor de anteriores
versiones:
- Configura el Servidor, puerto a ingresar y asigna un icono para pasar
desapercibido.
- Configura las llaves de Registro, el WINI.INI, SYSTEM.INI y la
liberación del Troyano Sub Seven.
- Nombra al archivo Servidor.
- Asigna el directorio %Windir% o la carpeta %System% donde será
instalado.
- Define una o todas las notificaciones vía ICQ, CGI, MSN, PHP o SMTP.
- Define los antivirus y firewall a ser deshabilitados.
- Especifica si se ejecutará cada vez que se active un archivo
ejecutable.
- Define los servicios a ejecutar en Windows NT/2000/XP
Deshabilita los siguientes 75 antivirus:
- Acceleration Software AV
- Anti-Trojan
- AntiVir
- AntiVir (Alemania)
- AntiViral Toolkit Pro
- AntiVirus ExPert 2000 (AVX) (alias: Bitdefender)
- ANTS
- AnVir
- AT AVS
- avast!4 Home Edition
- avast!4 Professional Edition
- AVG
- AVG 6.0 Free Edition
- BitDefender (alias: Anti-virus Expert)
- BullGuard
- Cheyenne AntiVirus
- Command
- Doctor Solomon AVS
- Doctor Web for Windows (memory scanner)
- eScan Free
- eScorcher AntiVirus version 1.7
- eTrust Antivirus
- F-Prot Antivirus TM
- F-Secure
- G-Data AntiVirenKit (Programa alemán)
- German Process Viewer
- InoculateIT Personal Edition
- Integrity Master
- InVircible
- Kaspersky
- LockDown
- Lockdown Pro
- MailDefense Standard 3.0
- McAfee
- neolog
- NOD
- NOD32
- Norman
- Norton AntiVirus
- Panda
- Panda Antivirus
- Panda Antivirus 6.0 Platinum
- Panda Titanium
- PC Door Guard
- pc-cillin (alias: TrendMicro Antivirus)
- PER Antivirus (en español)
- PestPatrol
- Protector Plus Antivirus Software
- Quick Heal
- RAV
- SBABR 3.12
- SOLO
- Sophos
- Spy X
- Swat it
- Tauscan
- TDS
- T-FAK Trojan Remover
- The Cleaner
- TrendMicro
- Trojan Hunter 3.5
- Trojan Remover
- Trojan Scan Engine
- TrojanCheck 6
- TrojanHunter
- Vexira
- Vexira Antivirus
- ViRobot Expert
- VirusBuster
- VirusNet PC
- wild file goback
- WinRoute pro 4.2
Igualmente termina los procesos de los siguientes 32 Firewalls:
- 3B Personal Firewall Pro
- Agnitum Outpost Free
- Agnitum Outpost PRO
- Armor2net Personal Firewall
- AtGuard
- BlackIce
- ConSeal PC Firewall
- Deerfield Personal Firewall
- eTrust Firewall
- GData Firewall
- German Process Viewer
- Kaspersky Anti Hacker 1.0
- Kerio Firewall
- Lockdown Pro/free
- LookNStop
- mcafee firewall
- McAfee Internet Security
- Net Barrier firewall
- Net Protect
- Norton firewall
- Outpost Firewall
- Panda (Built-In)
- PC Cillin 2003 personal firewall
- Pc-Cillin (Built-In)
- Private Firewall 3
- Sphinx
- Steganos Online Shield
- Sygate Personal Firewall
- sygate personal pro
- TGB::BOB! Firewall Personnel v 2.31E
- Tiny Personal Firewall
- WinGate
- Winroute
- WinXP Firewall
- Zonealarm Pro/free
Cliente, de 380.5 KB que controla al Troyano/Backdoor Servidor.
Servidor, varía de nombre y extensión de acuerdo a las
opciones configuradas en el Builder.
Readme.txt de 4 KB, en inglés
Alternativecgilogger.zip de 21 KB, que libera el
troyano SubSeven y modifica los
archivos .CGI
Al ser ejecutado el troyano se auto-copia indistintamente al directorio %Windir%
o a la carpeta %System% con el nombre de
archivo asignado como Servidor. Para activarse la próxima vez que se
re-inicie el sistema modifica las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default =
"%Windir%\nombre_de_archivo_del_troyano.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
default =
"%System%\nombre_de_archivo_del_troyano.exe"
El troyano modifica además otra llave, agregando el nombre
asignado como "Servidor.exe", con el propósito de activarse cada
vez que se ejecute cualquier archivo con extensión .EXE
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%System%\nombre_de_archivo_del_troyano.exe
"%1" %*
Modifica la línea Run del archivo WIN.INI para activarse al reiniciar
Windows 95/98/Me:
WIN.INI
[windows]
run=%Windir%\nombre_de_archivo_del_troyano.exe
Modifica la línea Shell del archivo SYSTEM.INI para activarse al reiniciar Windows 95/98/Me:
SYSTEM.INI
[windows]
shell=[contenido original] %System%\nombre_de_archivo_del_troyano.exe
Nota: Descargar e instalar este software implica un grave riesgo de ser atacado.
Los payloads
de este troyano/backdoor son los siguientes:
- Suspende, re-inicia, apaga o colapsa el
sistema mostrando una pantalla azul.
- Deshabilita 72 Antivirus y 32
Firewalls.
- Libera y activa el troyano SubSeven.
- Captura información del hardware,
sistema, direcciones de correo y roba passwords de archivos, memoria
caché y RAS.
- Puede auto-destruir el Servidor
si es editado.
- Modifica los registro de MS Windows.
- Modifica el archivo WIN.INI
- Modifica el archivo SYSTEM.INI
- Define su instalación en el directorio
%Windir% o %System%
- Define o renombra el nombre del
Servidor.
- Notifica al hacker vía ICQ, CGI, MSN,
PHP o SMTP.
- Activa un servidor FTP en un puerto
específico y extrae o descarga archivos.
- Ejecuta archivos o programas, crea,
renombra o borra carpetas.
- Ejecuta o termina Procesos en actividad.
- Ejecuta tareas de Windows, lo minimiza o
maximiza, cambia los títulos, cierra ventanas y envía instrucciones
de teclado a ventanas específicas.
- Activa un rango de direcciones IP para
rastrear puertos abiertos en otros equipos.
- Redirecciona la conexión de puertos a
otros de diferentes equipos.
- Monitorea el sistema en forma remota.
- Genera pantallas con falsos mensajes de
error.
- Captura imágenes de Cámaras Web.
- Controla el teclado, mouse, la lectora
de CD ROM y la pantalla.
- Activa y desactiva un Salvador de
Pantallas.
- Produce sonidos con el parlante, oculta
el reloj del sistema.
- Activa y desactiva las luces del
teclado.
- Imprime textos en la impresora.
- Borra archivos.
- Formatea el disco duro.
PER ANTIVIRUS®
versión 8.0 con registro de virus al 25 de
Marzo
del 2003 detecta y elimina eficientemente
los troyanos/backdoor producidos por este generador.
