Ranky.X

RANKY.X troyano/backdoor explota la vulnerabilidad del Servicio de Servidor ejecuta comandos remotos, etc.

Troj/Ranky.X

Ranky.X es un destructivo troyano/backdoor reportado el 15 de Agosto del 2006 que ingresa a los servidores con la vulnerabilidad del Servicio de Servidor detallado en el Boletín MS06-040

A través de un puerto TCP aleatorio abre un Backdoor para ejecutar comandos remotos.

Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003 ,desarrollado en Visual C++, con una extensión de 126KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia al directorio %Windir% con el nombre de nrcs.exe y crea el Mutex "WVNRCS32_Class_", para evitar infectar más de una vez a un sistema.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

para ejecutarse la próxima vez que se re-inicie el sistema modifica las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft (R) Windows Vista/NT Runtime Compatibility Service" = "%Windir%\nrcs.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%Windir%\nrcs.exe"= "%Windir%\nrcs.exe:*:Enabled:Microsoft (R) Windows Vista/NT Runtime Compatibility Service"

Agrega el siguiente valor:

"Shell" = "%Windir%\nrcs.exe"

a las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell]
[HKEY_ALL_USERS\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

Al siguiente inicio del equipo, el troyano borra las entradas de la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

y crea las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Tmp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntrcs]

aleatoriamente este troyano puede descargar el gusano Wargbot el mismo que contiene funciones de Backdoor y explota la vulnerabilidad del Servicio de Servidor detallado en el Boletín MS06-040

luego intenta conectarse a un servidor cifrado para notificarle las infecciones.

busca un puerto TCP aleatorio y abre un Backdoor, mediante el cual podrá ejecutar entre otras, las siguientes acciones:

descargar y ejecutar archivos con códigos malignos
borrar archivos
ejecutar programas
modificar las llaves de registro
terminar procesos
abrir y cerrar la unidad de CD ROM o DVD
habilitar o deshabilitar el mouse

El parche para la vulnerabilidad mencionada se puede descargar desde:

Microsoft Security Bulletin MS06-040

PER ANTIVIRUS® versión 9.8 con registro de virus al 15 de Agosto del 2006 detecta y elimina este troyano/backdoor.