Troj/Riler.G

RILER.G troyano/backdoor HTTP y MultiSPAM deshabilita antivirus se auto-inserta como un Layered Service Provider.

Troj/Riler.G

Riler.G es un troyano/backdoor reportado el 04 de Julio del 2007 que se propaga a través de servicios de Internet tales como HTTP y mensajes de correo MultiSPAM.

Deshabilita determinados software antivirus y anti-spyware y emplea una técnica muy peligrosa, consistente e instalarse como un Layered Service Provider (LSP) muy difícil y peligroso de remover manualmente.

Al ser activado crea la carpeta C:\Global y dentro de ella el Mutex "OMPmergenrgpoenrgponoprgpo" para evitar activarse en un sistema más de una vez.

Infecta Windows NT/2000/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 172 KB y comprimido con rutinas propias.

Al ingresar a un sistema se copia a la carpeta %System% con los nombres:

%System%\mstsdsc.exe
%System%\tmwsock.dll
%System%\sporder.dll

luego instala el archivo tmwsock.dll como un Layered Service Provider (LSP) ver NOTA:

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mstsdsc.exe" = "%System%\mstsdsc.exe"

crea además una llave de registro para poder agregarse a la lista de programas autorizados para el Firewall de Windows:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"%System%\mstsdsc.exe" = "%System%\mstsdsc.exe:*:Enabled:mstsdsc"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el troyano termina los procesos de los siguientes antivirus y anti-spyware:

Antivir
Avast
ClamAV
Ukranian Antivirus Center
Doctor Web
McAfee VirusScan
Kaspersky
McAfee AntiSpyware
SpywareBlaster
AVGAntiSpyware
Symantec Antivirus
SpySweeper
NOD32
eTrust PestPatrol
SpybotSnD

luego extrae las direcciones de correo contenidas en los archivos con las siguientes extensiones:

a
dbx
msg
ppt
nfo
wps
pwd
psw
pwi
ans
mht
dat
slk
prn
dbf
xlw
xml
pst
tbb
eml
rtf
csv
mdb
html
htm
xls
doc
txt

Las direcciones son almacenadas en el archivo de nombre fmls.mzo dentro de la carpeta %System%, para luego ser usadas como destinatarios de su servidor MultiSPAM.

Actuando como Backdoor y a través del puerto TCP 80 el troyano hace uso de su propio Proxy el cual usará como "relay" para el envío masivo de correo MultiSPAM.

Los destinatarios, asuntos y contenidos serán extraídos aleatoriamente del sistema.

Finalmente intenta descargar desde un sitio web ubicado en Hong Kong un archivo con comandos arbitrarios.

http://58.65.239.82/[Removido]
http://58.65.239.82/[Removido]

NOTA: Un Layered Service Provider (LSP) es un archivo DLL de Microsoft que usa cualquier API Winsock para auto-insertarse dentro de una pila TCP/IP y una vez dentro de ella, poder interceptar o modificar el tráfico de subida o bajada de Internet a través de los navegadores o actuar como cliente de correo electrónico.

En este caso, el troyano instalado como un Layered Service Provider, puede capturar información sensible en los sistemas afectados.

El problema consiste además en que el LSP se incrustra dentro de la pila TCP/IP y removerlo manualmente implica un grave riesgo.

PER ANTIVIRUS® versión 10.1 con registro de virus al 04 de Julio del 2007 detecta y elimina eficientemente este troyano/backdoor.