Troj/Bckdr.QJB

TROJ/BCKDR.QBJ troyano/backdoor de técnica Rootkit ocasiona múlltiples daños en forma oculta y remota, etc.

Troj/Bckdr.QJB

Troj/Bckdr.QJB es un troyano/backdoor con técnica Rootkit, residente en memoria reportado el 13 de Agosto del 2007, se propaga a través de redes con recursos compartidos, vulnerabilidadas, servicios de Internet como Telnet, IRC, Chat, Mensajería Instantánea, redes Peer to Peer y en mensajes de correo SPAM.

Descarga archivos con códigos malignos vía Chat y desestabiliza la seguridad de Windows. Su acción es realizada en forma oculta y cambiando de posición en forma aleatoria ya que se engancha al svchost.exe de Windows que administra todos sus servicios y procesos de archivos .DLL.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión variable y encriptado con rutinas propias.

Una vez ingresado, el gusano se copia a las siguientes rutas:

%System%\drivers\zvaeypeb.sys
%System%\zvaeypeb.dll

El archivo zvaeypeb.sys es registrado como un nuevo servicio del sistema, con el nombre de "zvaeypeb.sys" y que al activarse muestra el título de "zvaeypeb", con funciones de Inicio automático, para ejecutarse cada vez que se reinicie el sistema.

para garantizar su activación crea las llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\zvaeypeb]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YVAEYPEB]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el troyano se activa como un proceso individual, enganchándose al sistema de procesos svchost.exe de Windows, el cual administra todos los servicios y procesos de los archivos .DLL, para lo cual crea la llave:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"zvaeypeb" = "%System%\zvaeypeb.dll

para deshabilitar el Administrador de Barra de Tareas modifica la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar el Editor de Registros modifica la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

Para desestabilizar la seguridad de Windows, inhabilitar al Firewall, impedir actualizaciones, etc., agrega valores a las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = "0"

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = "0"

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2" = "1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM" = "N"

Emplea el método de la "fuerza bruta" para ingresar a redes con recursos compartidos configuradas con contraseñas débiles.

Como Rootkit a través de un puerto TCP que se encuentre abierto libera una consola en su componente Backdoor y se conecta a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado desde el cual ejecutará diversas acciones en forma remota, entre otras:

Descargar y ejecutar archivos con códigos malignos
Controlar los servicios y procesos
Iniciar o detener servicios y procesos
Capturar y enviar información del sistema
Capturar teclas digitadas.
Capturar contraseñas
Capturar direcciones de correo
Interceptar información transmitida o recibida (Spoofing)
Ejecutar ataques de denegación de servicio (DoS)
Usar el servidor como Relay para el envío de correo SPAM
Etc.

PER ANTIVIRUS® versión 10.2 con registro de virus al 13 de Agosto del 2007 detecta y elimina este troyano/backdoor.