Randex.G

RANDEX.G, destructivo troyano/backdoor toma control de Redes con recursos compartidos, colapsa sistemas.

W32/Randex.G, Troj/Backdoor/Randex.G

Randex.G es un troyano/backdoor reportado el 16 de Agosto del 2003, que ingresa y se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles, con un archivo de nombre ph32.exe.

El gusano se conecta a servidores remotos, infecta servidores y unidades de red, envía o recibe instrucciones vía un pre-determinado canal IRC (Internet Chat Relay).

Actuando como backdoor de control remoto captura información de los sistemas, crea una Negación de Servicio por saturación logrando colapsarlos por saturación de envío de archivos.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 59 KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Cuando el gusano es ejecutado, se copia a la carpeta %System% con el nombre de ph32.exe y crea un mutex (Exclusión Mutua), denominado "piebot-fe" para evitar la generación de sus múltiples auto-copias en la memoria de Windows.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Winux Piriax Service" = "ph32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Winux Piriax Service" = "ph32.exe"

Al re-activarse el sistema el gusano genera una dirección IP aleatoria para infectarla e intenta autenticarse en como Administrador en esa IP, haciendo uso de la breve siguiente lista de Claves de Acceso, contenidas en su código viral:

12345
pass
password

Si logra validarse se auto-copia a los sistemas infectados de la siguiente forma:

\\[dirección_IP_autenticada]\Admin$\system32\netfd32.exe
\\[dirección_IP_autenticada]\c$\winnt\system32\netfd32.exe

Y al re-activarse programa una tarea para poder ejecutar e infectar otras redes con recursos compartidos.

Luego se conecta a un canal de un servidor IRC (Internet Chat Relay) para recibir comandos del hacker poseedor del software Cliente.

ntscan: ejecuta la búsqueda masiva de equipos remotos con con contraseñas débiles para propagarse.
syn: ejecuta un ataque de saturación con archivos de nombres aleatorios de 54.5 KB logrando una Negación de Servicio.
sysinfo: Captura información de la configuración del servidor y de las estaciones de trabajo.

Los payloads de este troyano/backdoor son los siguientes:

Intenta ingresar a los sistemas remotos con recursos compartidos como Administrador.
Emplea una breve lista de Claves de Acceso.
Si logra ingresar hace uso de todos los privilegios del Administrador de Red.
Envía la información al hacker a través de un canal de Chat de un servidor IRC pre-determinado.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Puede enviar/recibir comandos a través del Chat.
Captura teclas digitadas por el usuario.
Roba claves de acceso.
Controla remotamente programas de los sistemas infectados.
Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versión 8.2 con registro de virus al 16 de Agosto del 2003 detecta y elimina eficientemente este gusano/troyano/backdoor.