Smokodoor

SMOKODOOR, destructivo troyano/backdoor, toma control de los sistemas atacados incluyendo redes locales.

Troj/Backdoor/Smokodoor

Smokodoor es un destructivo troyano/backdoor reportado el 07 de Octubre del 2003, que infecta los sistemas con un archivo de nombre Server.exe, el mismo que libera otro del mismo nombre, pero con extensión .DLL a través del puerto 4300 (Corel CCam) y envía y recibe instrucciones del hacker poseedor del software Cliente.

Es un PE (Portable Ejecutable) e infecta únicamente a Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003

Al ejecutarse se auto-copia a la carpeta %System% con los nombres de Server.exe y Server.dll y para activarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"server.exe" = "%System%\server.exe"

Al siguiente re-inicio, el troyano inserta el archivo Server.dll dentro del proceso del Explorador de Windows, mediante el cual usará su función de Backdoor por defecto a través del puerto TCP 4300 para las conexiones entrantes. Sin embargo puede ser re-configurado por el hacker para ingresar por cualquier otro puerto.

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente tomará el control de los mismos.

La muestra fue enviada por un miembro del portal de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Los payloads de este troyano/backdoor son los siguientes:

Ingresa a través del puerto 4300 vía Telnet o cualquier otro servicio de Internet.
El número de puerto puede ser re-configurado para ingresar por cualquier otro puerto.
Controla remotamente los archivos y programas de los sistemas infectados.
Clasifica y registra las unidades de disco de la Red local.
Clasifica y lista todos los procesos del sistema.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Termina los procesos en ejecución.
Clasifica y registra los archivos.
Captura teclas digitadas por el usuario.
Roba claves de acceso y números de tarjetas de crédito.
Envía y recibe archivos vía el software Cliente del Backdoor.
Ejecuta archivos y programas.
Borra archivos.
Puede bloquear el sistema borrando los recursos compartidos en una red local.
Desconecta al usuario.
Haciendo uso del archivo .DLL recibe o envía instrucciones a través del puerto 4300.
Formatea los discos duro de las unidades de la Red local (LAN).
Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versión 8.3 con registro de virus al 07 de Octubre del 2003 detecta y elimina eficientemente este troyano/backdoor.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)