|
REVCUSS.C, nocivo troyano roba contraseñas de carpetas temporales o
cache y las envía por Correo.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Revcuss.C, PWSteal.Revcuss.C
 |
|
Revcuss.C
es un
nocivo troyano
reportado el 24 de Septiembre del 2004, que ingresa a los sistemas través de cualquier puerto que se encuentre abierto,
vía Telnet, con los
archivos de nombres Msnnm.exe
y Msndr.exe,
aunque también puede usar otros servicios
de Internet.
Una vez
ingresado a un sistema, el hacker captura las teclas
digitadas y roba las contraseñas e información confidencial
almacenadas las cuales envía al autor del virus en un mensaje
de correo.
|
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003
está desarrollado en MS C++, con 24.5 KB de
extensión y comprimido con el utilitario UPX (Ultimate
Packer for eXecutables):
http://upx.sourceforge.net
Por lo general emplea un "rastreador
de Puertos"
Una vez ingresado a un sistema crea el mutex de nombre "msmcxx"
para evitar ejecutarse más de una vez.
Luego se auto-copia al
directorio %System% con el nombre de Msnnm.exe
y a la carpeta %Windir% como Msndr.exe.
Para
activarse la siguiente vez que se inicie el sistema crea las siguientes llaves
de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate Loader" = "%System%\msnnm.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion]
"run" = "%Windir%\msndr.exe"
En Windows 95/98/Me modifica el WIN.INI agregándole una línea de
comando de ejecución:
WIN.INI
[windows]
run=msndr.exe
%Windir% es una variable que
corresponde a C:\Windows en Windows
95/98/Me/XP/Server 2003 y C:\Winnt en
Windows NT\2000.
%System% es la variable C:\Windows\System
para Windows 95/98/Me, C:\Winnt\System32
para Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
La siguiente vez que se inicie el
equipo
el troyano capturará las teclas digitadas, en tiempo real y las
contraseñas almacenadas en las
carpetas temporales o "Cache" del sistema.
El troyano envía la información al autor
del virus, en un mensaje de correo a una dirección cifrada. Se conecta a
los siguientes direcciones URL para configurar la información:
- http://www.cinnam.vibrahost.com
(portal de alojamiento gratuito y pagado)
- http://www.mig29here.com
(ubicado en la república Checa, actualmente desactivado)
- http://addicted-to.druggs.info
(sub-dominio virtual)
Los payloads
de este troyano son los siguientes:
- Ingresa vía Telnet a través de
cualquier puerto que se encuentre abierto en los sistemas.
- Puede usar cualquier otro servicio de
Internet.
- Captura las teclas digitadas en tiempo
real y roba las contraseñas e información confidencial almacenadas en
las carpetas temporales o cache.
- Envía la información al hacker en un
mensaje de correo a una dirección cifrada.
PER ANTIVIRUS®
versiones 8.8 y 8.9 con registro de virus al 24 de
Septiembre del 2004 detectan y eliminan eficientemente este
troyano.
