Randex.EUS

RANDEX.EUS gusano/backdoor de redes con recursos compartidos e IRC ejecuta diversas acciones nocivas.

W32/Randex.EUS

Randex.EUS es un gusano/backdoor reportado el 17 de Agosto del 2005, que se propaga a través del redes con recursos compartidos, configuradas con contraseñas débiles, con un archivo de nombre Sfool.exe

A través del puerto TCP 4095 se conecta a uno de dos servidores IRC (Internet Chat Relay) correspondientes a un portal alusivo al sistema operativo Debian GNU/Linux, desde donde ejecutará acciones nocivas y destructivas en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/2000/XP incluyendo servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con 53.5 KB de extensión.

Al activarse se copia a la carpeta %System% con el nombre de Sfool.exe y para ejecutarse la próxima vez que se re-inicie el sistema agrega el valor:

"mssfos" = "%System%\sfool.exe"

a las siguientes llaves de registro

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Crea el Mutex "nasa" para impedir infectar el sistema más de una vez y eventualmente muestra un falso mensaje de advertencia.

Al siguiente inicio rastrea redes con recursos compartidos configuradas con contraseñas débiles usando una lista de passwords:

oeminstall
staff
teacher
student1
student
afro
turnip
glen
freddy
bill
intranet
lan
nokia
ctx
headoffice
main
userpassword
capitol
winpass
blank
office
mass
control
pink
yellow
siemens
compaq
dell
cisco
sqlpass
sql
db1234
db1
databasepassword
data
databasepass
dbpassword
dbpass
access
database
domainpassword
domainpass
domain
orange
heaven
fish
hell
god
sex
fuck
exchnge
exchange
backup
technical
sage
owa
loginpass
login
katie
kate
bruce
george
ian
neil
lee
spencer
brian
frank
fred
joe
joan
susan
sue
mary
barbara
sam
ron
luke
peter
john
mike
qwe
zxc
asd
qaz
win2000
winnt
winxp
win2k
win98
windows
oemuser
oem
user1
user
homeuser
home
accounting
accounts
internet
www
web
outlook
mail
qwerty
null
server
system
default
changeme
none
guest
test
007
12345
1234567890
123456789
12345678
1234567
123456
1234
123
adm
admin
administrator
pass1234
password1
pwd
pass
passwd
password

En caso de lograr ingresar copia el archivo Sfool.exe a las siguientes rutas:

%System%\sfool.exe
%System%\winnt\system32\sfool.exe
%System%\system32\sfool.exe
%System%\sfool.exe

Actuando como Backdoor se conecta a través de puertos TCP 4095 a los siguientes servidores IRC:

http://nasa.darksin.net
http://nasahelp.darksin.net

ambos correspondientes a un portal alusivo al sistema operativo Debian GNU/Linux, perteneciente a un grupo de desarrolladores de origen francés e italiano.

desde los cuales el Backdoor podrá ejecutar las siguientes acciones:

Capturar y mostrar información del sistema, redes, estaciones y unidades de disco.
Descargar y ejecutar archivos con códigos malignos.
Detener procesos en ejecución.
Enviar mensajes de correo.
Capturar claves de CD de juegos de PC y enviárselas al intruso vía el canal IRC.
Ejecutar un servidor Proxy socks4.
Buscar a través de puertos redes con vulnerabilidades.
Redireccionar el tráfico de puertos TCP.
Ejecutar ataques Negación de Servicios (DoS) con comandos PING, SYN o UPD.
Borrar los recursos compartidos.
Actualizar la versión del gusano desde el IRC.

PER ANTIVIRUS® versión 9.4 con registro de virus al 17 de Agosto del 2005 detecta y elimina eficientemente este gusano/backdoor.