Randex.FC

RANDEX.FC, destructivo gusano/troyano/backdoor de Redes con recursos compartidos, diversos estragos.

W32/Randex.FC, Troj/Backdoor/Randex.FC

Randex.FC es un gusano/troyano/backdoor reportado el 02 de Febrero del 2004, residente en memoria, que ingresa y se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles, con un archivo de nombre Winlogonn.exe.

Recibe instrucciones desde un canal de IRC (Internet Relay Chat) pre-determinado permitiendo al hacker tomar el control absoluto de los sistemas infectados, en forma remota.

Ejecuta una serie de acciones nocivas y hasta destructivas, deshabilita el DCOM (Distributed Component Object Model), roba llaves de CD de populares juegos, roba información del sistema infectado, contraseñas, envía mensajes de correo masivo, etc.

El DCOM es un protocolo que permite y facilita la comunicación de los componentes de software dentro de una red, en forma eficiente y segura.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 44.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Cuando el gusano es ejecutado, se auto-copia a la carpeta %System% con el nombre de Winlogonn.exe y para ejecutarse la próxima vez que se inicie el sistema modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows mangement" = "%System%\Winlogonn.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows mangement" = "%System%\Winlogonn.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows mangement" = "%System%\Winlogonn.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows mangement" = "%System%\Winlogonn.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows mangement" = "%System%\Winlogonn.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez reiniciado el sistema el gusano calcula en forma aleatoria direcciones IP para los equipos que desea infectar, trata de autenticarse en esas direcciones generadas, e intenta ingresar a las redes con recursos compartidos que cuenten con contraseñas débiles, con los siguientes parámetros:

\\[equipo_remoto\Admin$\System32\GT.exe
\\[equipo_remoto\C$\Winnt\System32\GT.exe

Del mismo modo el gusano intenta propagarse en las Redes aprovechando la vulnerabilidad de los recursos compartidos "ocultos" Admin$ e IPC$:

NOTA: Un intruso puede establecer una comunicación válida con el servidor, conectándose al IPC$ como "null", sin necesidad de introducir el nombre del Usuario o la Clave de Acceso.

Para ello utiliza el siguiente comando:

C:\>net use \\[IP_del_equipo]\IPC$ "" /user:""

ADMIN$ es el recurso que utiliza el sistema durante la administración remota de los equipos, siendo siempre su ruta de acceso por defecto, la Raíz del sistema.

Actuando como Backdoor, se conecta a un canal IRC (Internet Relay Chat) del servidor raz0r.hopto.org a través del puerto TCP 2186 (no asignado) y se une al canal #redu, desde el cual recibirá instrucciones del intruso, pudiendo ejecutar diversas acciones y tomar el control absoluto de los sistemas infectados en forma remota, tales como:

Descargar y ejecutar archivos.
Deshabilitar el DCOM y borrar unidades compartidas de la red.
Capturar y mostrar la información del sistema.
Capturar y mostrar la información de la Red.
Buscar y capturar contraseñas de NT.
Ejecutar búsqueda de puertos abiertos.
Redireccionar puertos TCP.
Enviar mensajes de Correo con su propio motor SMTP.
Ejecutar un ataque DoS o de Negación de Servicio.
Mostrar la versión del gusano.
Actualizar la versión del gusano vía el IRC.

Este troyano/backdoor extrae y envía las llaves de CD de los siguientes populares juegos de PC:

Half-Life
Unreal Tournament 2003
Counter-Strike (Retail)
Project IGI 2
Battlefield 1942
Battlefield 1942 Road To Rome
Rainbow Six III RavenShield
Neverwinter
Soldier of Fortune II - Double Helix
Need For Speed Hot Pursuit 2
FIFA 2003
Command & Conquer Generals
Project IGI 2

Los payloads de este gusano/troyano/backdoor son los siguientes:

Se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles del Administrador.
Si logra ingresar hace uso de todos los privilegios del Administrador de Red.
Deshabilita el protocolo DCOM de las Redes.
Se conecta a un canal IRC predeterminado desde el cual descargará y ejecutará archivos.
Recibirá instrucciones del intruso vía ese canal de IRC.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Ejecuta ataques DoS y de saturación con los comandos SYN, PIN o de paquetes UDP.
Control de Acceso Remoto de los archivos y programas de los sistemas atacados.
El gusano se actualiza descargando archivos vía Chat y se auto-ejecuta en memoria.

PER ANTIVIRUS® versión 8.5 con registro de virus al 02 de Febrero del 2004 detecta y elimina eficientemente este gusano/troyano/backdoor.