|
Troj.Bckdr/Sanjicom
Sanjicom es un troyano/backdoor reportado el 07 de Marzo del 2008 que se propaga por diversos servicios de Internet o visitando páginas web expresamene acondicionadas.Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Visual C++, con extensiones de 55.5KB y 57KB respectivamente y no está encriptado.
Emplea la tecnología Rootkit para evitar ser detectado, se conecta a dos direcciones IP ubicadas en Hong Kong desde donde ejecuta comandos arbitrarios en forma remota.
Al ingresar a un sistema se copia a las rutas:
%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para ejecutarse la próxima vez que se re-inicie el sistema crea un servicio con las siguientes características:
Nombre de Servicio: ICF
Nombre Mostrado: ICF
Ruta de Imagen: %Systemdir%\svchost.exe:exe.exe
Proceso de ejecución: automático
y crea la siguientes sub-llaves de registro:
[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\RDPDrv\RdpDirver]
[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\RDPDrv\Security\Security]
Luego se conecta a las siguientes direcciones IP:
203.186.54.100 (ubicado
en Honhg-Kong)
203.98.159.145 (ubicado en Honhg-Kong)
Desde las cuales podrá realizar, entre otras, las siguientes acciones:
Para ocultar su acceso a las direcciones mencionadas el troyano/backdoor actúa como Rootkit y se engancha al NDIS (Network Driver Interfase Specification) y a los drivers TCP/IP.
PER ANTIVIRUS® versión X4 con registro de virus al 07 de Marzo del 2008 detecta y elimina este troyano/backdoor.
