|
RANDEX.DJF, destructivo troyano/backdoor de redes con recursos compartidos IRC roba información, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Randex.DFJ, Troj/Backdoor/Randex.DFJ
|
|
Randex.DFJ es un troyano/backdoor residente en memoria, reportado el 06 de Abril del 2005, que se propaga en Redes con recursos compartidos y estaciones de trabajo configuradas con
contraseñas débiles, con un archivo de nombre acrotray.exe.
Se conecta a través del puerto TCP 40404 y recibe instrucciones desde un determinado canal del IRC (Internet Relay Chat) permitiendo al hacker tomar el control de los sistemas infectados, en forma remota,
pudiendo ejecutar una serie de acciones destructivas.
|
Modifica el archivo HOSTS para impedir el acceso a www.microsoft.com.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++ con una extensión de 102 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Al ingresar a un sistema se copia a la carpeta %System% con el nombre de acrotray.exe y para activarse la próxima vez que se inicie el sistema, genera las siguientes llaves de
registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Acrobat Distiller Application" = "%System%\acrotray.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Adobe Acrobat Distiller Application" = "%System%\acrotray.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Acrobat Distiller Application" = "%System%\acrotray.exe"
Al siguiente re-inicio el troyano intenta ingresar y autenticarse como Administrador a una relación de direcciones IP generadas aleatoriamente configuradas con contraseñas débiles y de lograrlo, se auto-copia a las mismas, ejecutándose en memoria para continuar propagándose.
A través del puerto TCP 40404 se conecta a un servidor IRC en el dominio tunit.p2p.com.hk
permitiendo que un intruso se conecte como usuario y pueda ejecutar entre otras, las siguientes acciones:
- Extraer información relacionada al sistema, incluyendo su configuración de hardware.
- Descargar archivos a los sistemas, entre ellos una versión actualizada del gusano.
- Rastrear puertos desde la red infectada buscando sistemas con vulnerabilidades.
- Robar claves de CD de varios juegos de PC, las cuales envía al atacante a través del IRC (Internet Relay Chat).
- Ejecutar un NTscan para rastrear sistemas con recursos compartidos configurados con contraseñas débiles.
- Activar un Servidor Proxy (socks4) en determinado puerto TCP.
- Ejecutar ataques DoS en forma aleatoria, vía PING, SYN, y UDP.
Luego el gusano modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso al siguientes dominio:
127.0.0.1 www.microsoft.com
PER ANTIVIRUS® versión 9.2 con registro de virus al 06 de Abril del 2005 detecta y elimina eficientemente este troyano/backdoor.
