|
REDKOD, troyano/backdoor controla remotamente sistemas infecta solo a
Windows NT/2000/XP.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Backdoor/Redkod
 |
|
RedKod
es un
peligroso troyano/backdoor
reportado el 09 de Abril del 2003, que ingresa vía
Telnet a
través del puerto TCP
4820, con un
archivo de nombre svchost.exe,
de 59 KB.
Sin
embargo, el archivo Servidor se
puede propagar a través de otros servicios de Internet,
permitiendo al hacker
poseedor de su software Cliente tomar el control de los
sistemas atacados.
|
Es un PE
(Portable
Ejecutable) e infecta a NT/2000/XP,
incluyendo los servidores NT/2000,
está desarrollado en Visual C++ y
comprimido con el utilitario
UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
El troyano empleado es el RBackdoor
versión 1.3 creado por el hacker francés auto-denominado RedKod, que se
distribuye gratuitamente en diversos sitios web:
http://www.madchat.org/coding/w32nt.rev
Una vez ingresado a un sistema se auto-copia al
directorio %Windir% y para
activarse la siguiente vez que se inicie el sistema crea las siguientes llaves
de registro:
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run]
"MSkernel32" = %Windir%\svchost.exe 4820"
[HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run]
"MSkernel32" = %Windir%\svchost.exe 4820"
Este troyano/backdoor posee su propio SMTP
(Simple Mail Transfer Protocol) y puede enviar
mensajes de correo masivo a todos los buzones de
correo de la Libreta de Direcciones de MS
Outlook y a la
Libreta Global de Windows WAB
(Windows Address Book)
o los que son capturados en otros archivos del sistema infectado.
%Windir%
es una variable que corresponde a C:\Windows
en Windows 95/98/Me/XP/Server 2003 y C:\Winnt
en Windows NT\2000.
Además de enviar la información capturada
y extraída de los sistemas atacados, el poseedor del Backdoor
Cliente tomará el control absoluto de los mismos.
Los payloads
de este troyano/backdoor son los siguientes:
- Ingresa vía Telnet a través del puerto
TCP 4820.
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Roba nombres de usuarios y claves de acceso.
- Controla en forma remota los sistemas
infectados.
- Envía mensajes de correo electrónico
en forma masiva.
- Suspende, reinicia o apaga el sistema.
- Manipula el control de periféricos
tales como CD-ROM, mouse, teclado, pantalla, etc.
PER ANTIVIRUS®
versión 8.0 con registro de virus al 09 de
Abril
del 2003 detecta y elimina eficientemente este
troyano/backdoor.
