Troj/Bdoor.ANE

Abre puertos TCP aleatorios, se conecta a un servidor HTTP y ejecuta comandos arbitrarios en forma remota.

Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en Assembler con una extensión de 37,678 bytes.

Una vez ingresado al sistema se copia a:

• %System%\csrss.exe
• %System%\mswinsck.ocx

Para activarse cada vez que se re-inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\csrss.exe"

El archivo mswinsck.ocx es registrado como un objeto COM (Component Object Model)  bajo las entradas de registro:

[HKEY_CURRENT_USER\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}]
[HKEY_CURRENT_USER\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}]
[HKEY_CURRENT_USER\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}]
[HKEY_CURRENT_USER\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}]

Crea además las siguientes entradas en los registros:

[HKEY_CURRENT_USER\MSWinsock.Winsock.1\CLSID]
"default" = {248DD896-BB45-11CF-9ABC-0080C7E7B78D}]

[HKEY_CURRENT_USER\MSWinsock.Winsock\CLSID]
"default" = {248DD896-BB45-11CF-9ABC-0080C7E7B78D}]

Finalmente agrega múltiples entradas y valores a la llave:

[HKEY_CURRENT_USER\MSWinsock.Winsock]

Al siguiente inicio del equipo muestra la siguiente falsa caja de diálogo:

Luego su componente Backdoor abre un puerto aleatorio que se encuentre abierto y se conecta a un servidor HTTP desde el cual el autor podrá ejecutar, entre otras, las siguientes acciones arbitrarias:

• Descargar o extraer y subir archivos
• Ejecutar comandos arbitrarios
• Aperturar un servidor HTTP
• Enviar correo masivo
• Removerse a sí mismo
• Actualizarse a sí mismo

PER ANTIVIRUS® versión X6 con registro de virus al 18 de Agosto del 2008 detecta y elimina este troyano/backdoor.