W32/Randex.S, Troj/Backdoor/Randex.S

Randex.S es un gusano/troyano/backdoor reportado el 30 de Octubre del 2003, que ingresa y se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles, con un archivo de nombre Csystime.exe. Recibe instrucciones desde un canal de IRC (Internet Relay Chat) pre-determinado permitiendo al hacker tomar el control absoluto de los sistemas infectados, en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 30 KB y se encuentra comprimido con el utilitario ASPack:

http://www.aspack.com 

Cuando el gusano es ejecutado, se auto-copia a la carpeta %System% con el nombre de Csystime.exe y para ejecutarse la próxima vez que se inicie el sistema modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System time updator" = "%System%\Csystime.exe" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"System time updator" = "%System%\Csystime.exe" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez reiniciado el sistema el gusano calcula en forma aleatoria direcciones IP para los equipos que desea infectar, trata de autenticarse en esas direcciones generadas aleatoriamente, intentado ingresar a redes con recursos compartidos que cuenten con contraseñas débiles, con los siguientes parámetros:

• \\[IP_autenticada]\[recurso_compartido]\Documents and Settings\All users\Start Menu\Programs\Startup
• \\[IP_autenticada]\[recurso_compartido]\Winnt\Profiles\All users\Start Menu\Programs\Startup
• \\[IP_autenticada]\[recurso_compartido]\Windows\Start Menu\Programs\Startup

Luego el gusano intenta propagarse en las Redes aprovechando la vulnerabilidad de los recursos compartidos "ocultos" Admin$ e IPC$: 

NOTA: Un intruso puede establecer una comunicación válida con el servidor, conectándose al IPC$ como "null", sin necesidad de introducir el nombre del Usuario o la Clave de Acceso.

Para ello utiliza el siguiente comando:

C:\>net use \\[IP_del_equipo]\IPC$ "" /user:""

ADMIN$ es el recurso que utiliza el sistema durante la administración remota de los equipos, siendo siempre su ruta de acceso por defecto, la Raíz del sistema.

Actuando como Backdoor, Randex.S se conecta a un canal IRC predeterminado, el mismo que se encuentra fuertemente encriptado dentro del código viral desde el cual recibirá instrucciones del intruso, en forma remota, pudiendo ejecutar diversas acciones, ocasionar estragos o tomar control de las redes con recursos compartidos. 

Los payloads de este gusano/troyano/backdoor son los siguientes:

• Se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles.
• Si logra ingresar hace uso de todos los privilegios del Administrador de Red.
• Se conecta a un canal IRC predeterminado desde el cual recibirá instrucciones del intruso.  
• Captura información de la configuración del servidor y de las estaciones de trabajo.
• Captura teclas digitadas por el usuario.
• Roba claves de acceso y números de tarjetas de crédito.
• Control de Acceso Remoto de los archivos y programas de los sistemas atacados
• Activa y desactiva el equipo, lo suspende o apaga.
• Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versión 8.3 con registro de virus al 30 de Octubre del 2003 detecta y elimina  eficientemente este gusano/troyano/backdoor.