Plux

PLUX, troyano/backdoor, deshabilita antivirus, firewalls, etc. captura y envía información vía ICQ.

Troj.Backdoor/Plux

Plux es un peligroso troyano/backdoor reportado el 07 de Marzo del 2003, que ingresa por cualquier puerto TCP que se encuentre abierto, a través de varios servicios de Internet tales como ICQ, Rastreadores de puertos, HTTP, etc. con un falso archivo Svchost.exe de 51 KB. Toma control remoto de los sistemas, incluyendo los servidores.

Deshabilita antivirus, firewalls, software de control y herramientas de seguridad. Captura información y la envía al Centro Unificado de Mensajes ICQ del hacker.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ejecutarse libera 3 componentes y se auto-copia al directorio %Windir% y a la carpeta %System% con los nombres de archivos:

%Windir%\Svchost.exe
%System%\Wbem\Wb.com
%System%\Com\Mscom32.com

El Svchost.exe (Service Host Process) es un archivo de host genérico, para los servicios que se ejecutan desde las librerías DLL (Dynamic Link Library). El mismo se instala por defecto en la carpeta %SystemRoot%\System32.

El falso Svchost.exe tomará control de la ejecución de los servicios en el sistema infectado.

Para activarse la siguiente vez que se inicie Windows crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Run]
COM Service = "%System%\COM\mscom32.com"

También crea esta llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components]
{45DD0432-AA51-31EF-EEFA-06AA12E6115C}/StubPath = %System%\wbem\wb.com

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

La activación de estos archivos en las llaves creadas aseguran al hacker poseedor del Backdoor Cliente el absoluto control de los procesos de Instalación, Servicios y Procesos en los sistemas infectados.

Una vez activado, el gusano terminará con los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados:

_AVP32
_AVPCC
_AVPM
ACKWIN32
AGENTSVR
ADVXDWIN
ALERTSVC
ALOGSERV
AMON9X
ANTI-TROJAN
ANTIVIRUS
ANTS
APIMONITOR
APLICA32
APVXDWIN
ATCON
ATGUARD
ATRO55EN
ATUPDATER
ATWATCH
AUTODOWN
AUTOTRACE
AVCONSOL
AVGCC32
AVGCTRL
AVGSERV
AVGSERV9
AVGW
AVKPOP
AVKSERV
AVKSERVICE
AVKWCTL9
AVP
AVP32
AVPCC
AVPM
AVSCHED32
AVSYNMGR
AVWINNT
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
AVXW
BD_PROFESSIONAL
BIDEF
BIDSERVER
BIPCP
BISP
BLACKD
BLACKICE
BOOTWARN
BORG2
BS120
CDP
CFGWIZ
CFIADMIN
CFIAUDIT
CFINET
CFINET32
CLEAN
CLEANER
CLEANER3
CLEANPC
CLAW95
CLAW95CF
CMGRDIAN
CMON016
CONNECTIONMONITOR
CPF9X206
CPFNT206
CTRL
CWNB181
CWNTDWMO
DEFSCANGUI
DEFWATCH
DEPUTY
DOORS
DPF
DRWEB32
DVP95
DVP95_0
EFPEADM
ENT
ESCANH95
ESCANHNT
ESCANV95
ETRUSTCIPE
EVPN
EXANTIVIRUS-CNET
EXPERT
F-AGNT95
F-PROT
F-PROT95
FAMEH32
FAST
FCH32
FIH32
FIREWALL
FLOWPROTECTOR
FNRB32
FP-WIN
FRW
FSAA
FSAV
FSAV530STBYB
V530WTBYB
FSA
V95
FSAV32
FSGK32
FSM32
FSMA32
FSMB32
F-STOPW
GBMENU
GBPOLL
GENERICS
GUARD
GUARDDOG
HACKTRACERSETUP
HTLOG
HWPE
IAMAPP
IAMSERV
ICLOAD95
ICLOADNT
ICMON
ICSUPP95
ICSUPPNT
IFACE
IFW2000
IOMON98
IPARMOR
IRIS
ISRV95
JAMMER
JEDI
LDNETMON
KAVLITE40ENG
KAVPERS40ENG
LDPRO
LDPROMENU
LDSCAN
LOCKDOWN
LOCKDOWN2000
LUALL
LUAU
LUCOMSERVER
MCAGENT
MCMNHDLR
MCSHIELD
MCTOOL
MCVSRTE
MCVSSHLD
MFW2EN
MGAVRTCL
MGAVRTE
MGHTML
MGUI
MINILOG
MONITOR
MOOLIVE
MSSMMC32
MU0311AD
MWATCH
NAV80TRY
NAVAPSVC
NAVAPW32
NAVDX
NAVLU32
NAVSTUB
NAVW32
NAVWNT
NC2000
NDD32
NEOWATCHLOG
NETARMOR
NETINFO
NETMON
NETSCANPRO
NETSPYHUNTER-1.2
NETUTILS
NISSERV
NISUM
NMAIN
NORMIST
NPF40_TW_98_NT_ME_2K
NPFMESSENGER
NPROTECT
OSTRONET
OUTPOST
NPSSVC
NSCHED32
NTRTSCAN
NTVDM
NTXCONFIG
NUI
NVC95
NVARCH16
NWSERVICE
NWTOOL16
P SPF
PADMIN
PANIXK
PAVPROXY
PCC2002S902
PCC2K_76_1436
PCCIOMON
PCCNTMON
PCCWIN97
PCCWIN98
PCSCAN
PERISCOPE
PERSFW
PF2
PFWADMIN
PINGSCAN
PLATIN
POP3TRAP
POPROXY
PORTDETECTIVE
PORTMONITOR
PPTBC
PPVSTOP
PROGRAMAUDITOR
PROPORT
PROTECTX
PURGE
PVIEW95
QCONSOLE
QSERVER
RAV7
RAV7WIN
RAV8WIN32ENG
REALMON
RESCUE
RRGUARD
RSHELL
RTVSCN95
RULAUNCH
SBSERV
SCAN32
SCRSCAN
SFC
SGSSFW32
SHN
SMC
SOFI
SPF
SPHINX
SPYXX
SS3EDIT
ST2
SUPFTRL
SUPPORTER5
SYMPROXYSVC
SWEEP95
SWNETSUP
SYMTRAY
TAUMON
TAUSCAN
TCA
TCM
TDS-3
TDS2-98
TDS2-NT
TFAK
TFAK5
TGBOB
TITANIN
TITANINXP
TRJSCAN
TROJANTRAP3
VBCMSERV
VBCONS
VBUST
VBWIN9X
VBWINNTW
VET32
VET95
VETTRAY
VIR-HELP
VNLAN300
VNPC3000
VPC32
VPC42
VPFW30S
VPTR AY
VPTRAY
VSCHED
VSECOMR
VSHWIN32
VSMAIN
VSMON
VSSTAT
WATCHDOG
WEBSCANX
WEBTRAP
WGFE95
WIMMUN32
WINRECON
WNT
WRADMIN
WRCTRL
WSBGATE
XCOMMSVR
XPF202EN
ZAPRO
ZATUTOR
ZAUINST
ZONALM2601
ZONEALARM

El componente Backdoor capturará y enviará mensajes con la información del sistema atacado, al ICQ Unified Messaging Center (Centro Unificado de Mensajes ICQ), al cual puede acceder el hacker registrado desde varios medios incluyendo su dirección asignada HTTP, enviada a su PC, beeper, teléfono celular, agenda electrónica, etc. con acceso a Internet directo vía módem , LAN o inalámbrico (Wireless).

Los payloads de este troyano/backdoor son los siguientes:

Deshabilita antivirus, firewalls, software de control y herramientas de seguridad.
Captura información del sistema, IP, configuración, sistema operativo, características de hardware, etc.
Roba claves de acceso, números de tarjetas de crédito direcciones de correo.
Envía la información capturada al Centro Unificado de Mensajes ICQ del hacker.
Controla remotamente los procesos y servicios de los sistemas atacados vía ICQ, HTTP, PC, periféricos tales como beeper, celulares y agendas electrónicas con acceso a Internet.

PER ANTIVIRUS® versión 7.9 con registro de virus al 07 de Marzo del 2003 detecta y elimina eficientemente este troyano/backdoor.