W32/Randex.D, Troj/Backdoor/Randex.D, W32/Slanper.A

Randex.D es un gusano/troyano/backdoor reportado el 28 de Junio del 2003, que ingresa y se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles, con un archivo de nombre msmsgri3.exe.  El gusano ingresa a través de los puertos 3330, 3331, 3332, 3361, se conecta a servidores remotos e infecta archivos en unidades de red con recursos compartidos, usando el protocolo SMB (Server Message Block), para propagarse por el puerto 445.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 13.5 KB y comprimido con el utilitario ASPack:

http://www.aspack.com 

Cuando el gusano es ejecutado, se copia a los sistemas con Claves de Acceso débiles de la siguiente forma:

• \\[dirección_IP_autenticada]\Admin$\system32\msmsgri32.exe
• \\[dirección_IP_autenticada]\c$\winnt\system32\msmsgri32.exe

Luego intenta autenticarse como Administrador en las direcciones IP de los equipos remotos, haciendo uso de la breve siguiente lista de Claves de Acceso, contenidas en su código viral:

• [ninguno + la tecla Enter]
• admin
• root
• 1
• 111
• 123
• 1234
• 123456
• 654321
• !@#$
• asdf
• asdfgh
• !@#$%
• !@#$%^
• !@#$%^&
• !@#$%^&*
• server 

Asimismo programa una tarea para poder ejecutar el gusano la próxima vez que se inicie el sistema, generando la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mssyslanhelper"="msmsgri32.exe"

Al siguiente re-inicio del equipo el gusano libera y ejecuta el troyano/backdoor de nombre Payload.dat, el mismo que para activarse en el siguiente reinicio, crea esta llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"System Initialization" = "payload.dat"

Si el accionar de esta especie viral tiene éxito, enviará notificaciones al hacker poseedor del software Cliente, a través del puerto 545 (Kerberos encrypted remote shell -kfall) a la dirección IP 217.21.117.104, ubicada en Amsterdam, abriendo los siguientes puertos para recibir las instrucciones del atacante:

• 3330 (MCS Calypso ICF, empleada para el servicio de Chat)
• 3331 (MCS Messaging, servicio de Mensajería)
• 3332 (MCS Mail Server, servidor de Correo)
• 3361 (KV Agent, agente de KiloVoltio)   

MCS (Messaging & Collaboration System) es un Sistema de Mensajería Colaborativa. 

Los payloads de este troyano/backdoor son los siguientes:

• Intenta ingresar a los sistemas remotos con recursos compartidos como Administrador.
• Emplea una breve lista de Claves de Acceso.
• Si logra ingresar hace uso de todos los privilegios del Administrador de Red.
• Envía la información al hacker a través del puerto 445.  
• Captura información de la configuración del servidor y de las estaciones de trabajo.
• Captura teclas digitadas por el usuario.
• Roba claves de acceso y números de tarjetas de crédito.
• Control de Acceso Remoto de los archivos y programas de los sistemas atacados
• Activa y desactiva el equipo, lo suspende o apaga.
• Puede enviar comandos a través del Chat.
• Asimismo puede enviar mensajes de correo en forma masiva.
• Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versión 8.1 con registro de virus al 28 de Junio del 2003 detecta y elimina  eficientemente este gusano/troyano/backdoor.