Troj/Robofo

ROBOFO troyano/backdoor MultiSPAM roba información sensible del sistema desestabiliza su seguridad, etc.

Troj/Robofo

Robofo es un troyano/backdoor residente en memoria reportado el 29 de Febrero del 2008, que se propaga a través de diversos servicios de Internet, principlamente en mensajes MultiSPAM.

Extrae información del sistema, contraseñas, certificados, etc. y envia a sitios web que son cambiados en forma aleatoria.

Desestabiliza la seguridad del sistema inhabilitando servicios.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en Borland Delphi con una extensión de 144KB y comprimido con el utilitario ASProtect.

Una vez ingresado, el gusano se copia a las siguientes rutas con los nombres:

%UserProfile%\Administrator\Local Settings\Temporary Internet Files\Content.IE5\KTIFKLEF\pdf_100[1].scr
C:\RECYCLER\S-1-5-18\desktop.ini
C:\RECYCLER\S-1-5-18\INFO2

luego descarga los siguientes archivos capturadores de información:

%Windir%\inf\csrss.exe
%Windir%\inf\svchost\csrss.exe
%Windir%\inf\svchost\svchost.exe
%Windir%\svchost.exe

y las herramientas de recuperación de contraseñas que ejecuta en forma "oculta":

%Windir%\inf\iepv.exe
%Windir%\inf\netpass.exe
%Windir%\inf\outlok.exe
%Windir%\inf\rdpv.exe

seguidamente descarga los siguientes archivos de configuración del sistema:

%Windir%\inf\mlist.dat
%Windir%\inf\tmpdown33.dll
%Windir%\inf\ram32xp.dll
%Windir%\inf\ram64xp.dll
%Windir%\inf\ram65xp.dll

posteriormente el archivo vacio .dll, que es empleado en el lenguaje Delphi para empaquetar y desempaquetar archivos:

%Windir%\system32\DelZip179.dll

y los siguientes archivos que extraen certificados del sistema infectado:

%Windir%\inf\svchost\ChilkatCert_NT4.dll
%Windir%\inf\svchost\extract_cert.exe

Para ejecutarse la próxima vez que se re-incie el sistema, el troyano manipula valores en las siguientes llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMSELService]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WMSELService]

consecuentemente crea el siguiente servicio:

Ruta de imagen: "C:\WINDOWS\inf\svchost\svchost.exe"
Nombre mostrado: "Windows Management Extended Licence Service"
Tipo de Inicio: Automático

para consolidad la acción de los archivos capturadores de información y contraseñas, crea la siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2A9A3D40-2F32-45BF-9A89-AC9ED6C2FEDF}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51435758-75D7-45FC-A91A-C84DF4ECF725}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53A95719-7741-457D-8811-519C106E7B92}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{695FB128-85C1-4DF3-A2BE-3123D13E2564}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7455CC38-FC70-4785-9551-15FA0F5DBC98}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83C7431A-035A-4D1E-8BD8-7FD2F78EE762}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A934AEE3-8896-485F-8A55-ACF2A87BD010}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2A74106-0416-43D8-8FE8-833E9AD098EA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.Cert]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.Cert.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CertChain]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CertChain.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CertColl]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CertColl.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CertStore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CertStore.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CreateCS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.CreateCS.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.KeyContainer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.KeyContainer.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.PrivateKey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.PrivateKey.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.PublicKey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chilkat.PublicKey.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCert]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCert.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCertChain]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCertChain.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCertColl]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCertColl.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCertStore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCertStore.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCreateCS]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.ChilkatCreateCS.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.KeyContainer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.KeyContainer.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.PrivateKey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.PrivateKey.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.PublicKey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChilkatCertificate.PublicKey.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{06544919-F559-4AE5-9001-F903BD8A84E6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3296199A-B3A0-4AF1-8673-3F76C5FD6FD5}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5CE8D2B6-FDE7-41D1-B563-B8E03EE008B9}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{811AA1E0-4C88-4274-AABB-F8D171444D52}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AC4A4CB2-140B-402B-822B-455EEA0A9976}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C4C23B78-DB98-444C-B601-DCAC6EBBEC54}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D338B7B4-0478-448E-AFC3-D005E6DFE790}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D56C1AF1-3FDE-471C-9BC2-C52515F260C1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2138BF27-7383-435B-A6F5-89B1DEAB2130}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMSELSERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMSELSERVICE\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMSELSERVICE\0000\Control]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\c]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon]
[HKEY_ALL_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
[HKEY_ALL_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\c]
[HKEY_ALL_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
[HKEY_ALL_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]
[HKEY_ALL_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon]

para desetabilizar la seguridad del sistema modifica la laves de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\C:\WINDOWS\inf\svchost]
"svchost.exe" = "C:\WINDOWS\inf\svchost\svchost.exe:*:Enabled:svchost"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\C:\WINDOWS\inf\svchost]
"svchost.exe" = "C:\WINDOWS\inf\svchost\svchost.exe:*:Enabled:svchost"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DoNotAllowExceptions" = "0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DoNotAllowExceptions" = "0"

Substraída la información del sistema se conecta a las siguientes direcciones web a las que la envía:

http://www.irs.gov.edgesuite.net/cms/modules/EZCMS/pitcures/default/irs_ef[Removido]
http://www.irs.gov.edgesuite.net/cms/modules/EZCMS/pitcures/default/gl.[Removido]
http://hopemason.net/massimo/wp-conf/b.php/../insta[Removido]
http://maladate.com
http://joola.ee/pgpOLD/default/gl.[Removido]
http://curenational.org/news/data/default.php/[Removido]
http://www.inokuchi-c.com
http://dns.inokuchi-c.com
http://blogliguriaenonsolo.com
http://detomaso.net
http://detomaso.at

Como Backdoor se conecta a través de un puerto TCP aleatorio a un canal de Chat desde el cual extraerá la siguiente información:

Contraseñas de Discado
Contraseñas remotas de Escritorio
Contraseñas de MS Outlook
Contraseñas protegidas de medios de almaceamiento

PER ANTIVIRUS® versión X4 con registro de virus al 29 de Febrero del 2008 detecta y elimina este gusano/backdoor.