|
RANDEX.X, destructivo troyano/backdoor de
Redes con recursos compartidos, ocasiona diversos estragos.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Randex.X,
Troj/Backdoor/Randex.X
 |
|
Randex.X
es un troyano/backdoor
reportado el 02 de Enero del 2004, que ingresa y se propaga en Redes con
recursos compartidos y estaciones de trabajo configurados con contraseñas débiles,
con un archivo de nombre Piriax32.exe.
Recibe instrucciones desde un canal
IRC (Internet Relay
Chat) a través del puerto 6667 que es vulnerable
a troyanos tales como DarkFTP,
EGO, Maniac
RootKit, Moses, SubSeven,
etc., permitiendo al hacker tomar el control absoluto
de los sistemas infectados, en forma remota. |
Es un PE
(Portable
Ejecutable) e infecta Windows
NT/2000/XP,
incluyendo los servidores NT/2000/Server 2003,
está desarrollado en Visual C++ con una extensión de 59 KB
y comprimido con el utilitario UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
Cuando el gusano es ejecutado, se auto-copia a
la carpeta %System% con el nombre de Piriax32.exe
en los sistemas basados en la tecnología NT
y en Windows 95/98/Me, se registra como un
servicio del sistema operativo, con el objeto de ocultar sus procesos en la
Barra de Tareas.
Para ejecutarse la próxima vez que se inicie
el sistema modifica las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Winux Piriax Service" =
"%System%\Piriax32.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Winux Piriax Service" =
"%System%\Piriax32.exe"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Para no volverse a ejecutar en los sistemas
infectados o no permitir el acceso a un recurso compartido, en forma simultánea,
el troyano crea un mutex de nombre "piriaxbot".
Los mutex son programas objeto de
sincronización que administran el acceso a recursos del sistema y tienen
privilegios asociados con estos recursos. Se puede crear un mutex, en
particular con el propósito de tomar el control de las redes que tienen
permisos inconsistentes.
Este factor podría permitir a un atacante,
que tenga la habilidad de ejecutar códigos en computadoras locales,
monopolizar el mutex y tomar el control de la red.
Al siguiente re-inicio el gusano calcula en forma aleatoria direcciones IP para los
sistemas con recursos compartos e intenta autenticarse en esas direcciones generadas,
en redes que
cuenten con contraseñas débiles, con los siguientes parámetros:
-
\c$\winnt\system32\Piriax32.exe
-
\Admin$\system32\Piriax32.exe
Para conectarse a un sistema, usa en modo
"batch" las siguientes
contraseñas:
- !@#$
- !@#$%
- !@#$%
- !@#$%
- !@#$%
- 111
- 123
- 1234
- 123456
- 654321
- admin
- asdf
- asdfgh
- root
- server
Además de copiarse como Piriax32.exe
el troyano se auto-ejecuta usando la función API NetScheduleJobAdd, procediendo a propagarse en todas las unidades de red,
aprovechando las vulnerabilidades de los recursos compartidos
"ocultos" Admin$ e IPC$:
NOTA: Un intruso puede establecer una comunicación válida con el servidor, conectándose al
IPC$ como
"null", sin necesidad de introducir el nombre del Usuario o la Clave de Acceso.
Para ello utiliza el siguiente comando:
C:\>net use \\[IP_del_equipo]\IPC$ "" /user:""
ADMIN$ es el recurso que utiliza el sistema durante la administración remota de los equipos, siendo siempre su ruta de acceso
por defecto, la Raíz del sistema.
Actuando como Backdoor, Randex.X
se conecta a un canal IRC a través del puerto TCP
6667 desde el cual recibirá instrucciones del intruso, en forma
remota, pudiendo ejecutar diversas acciones y estragos. También puede
enviar la información extraída a una dirección de correo que se encuentra
cifrada dentro del código viral.
Los payloads
de este troyano/backdoor son los siguientes:
- Se propaga en Redes con
recursos compartidos y estaciones de trabajo configurados con contraseñas
débiles de Administrador.
- Si logra ingresar hace uso de todos los
privilegios del Administrador de Red.
- Envía un mensaje de correo con la
información a una dirección cifrada dentro del código viral.
- Se conecta a un canal IRC
predeterminado desde el cual recibirá instrucciones del intruso.
- Participa como usuario en el canal de
Chat.
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Extrae desde y descarga programas a los
sistemas infectados. Estos últimos son ejecutados.
- Busca sistemas con puertos abiertos.
- Ejecuta ataques DoS
de saturación con el comandos SYN a una determinada dirección IP.
- El troyano se actualiza descargando
archivos vía Chat y se auto-ejecuta.
- Puede auto-removerse del sistema, a
voluntad del hacker que lo controla.
PER ANTIVIRUS®
versión 8.4 con registro de virus al 02 de Enero del 2004 detecta y elimina eficientemente este
troyano/backdoor.
