W32/Unpdoor

UNPDOOR troyano/backdoor de Internet con componente backdoor se conecta a un URL de comandos remotos.

W32/Unpdoor

Unpdoor es un troyano/backdoor residente en memoria reportado el 24 de Septiembre del 2007, que se propaga a través de diversos servicios de Internet, abre un puerto TCP aleatorio conectándose a un sitio web desde donde recibirá instrucciones pudiendo ejecutar comandos arbitrarios en forma remota.

Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 179KB para su archivo ejecutable y 91KB para su componente .DLL

Una vez ingresado al sistema, para evitar ejecutarse más de una vez el gusano crea los Mutex:

__win32__ntss_sdm__
__win32__ntss_sm__

y se copia al directorio %System% como ntss.exe creando un archivo temporal en la ruta:

%Windir%\Temp\ntss_000.tmp

para ejecutarse la próxima vez que se reinicie el sistema inserta su codigo viral en:

winlogon.exe
iexplore.exe
explorer.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSS]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTSS]

Luego genera y ejecuta el siguiente servicio:

Nombre de Servicio: NTSS
Nombre mostrado: Network Translation System Service

Para evadir la configuración del Firewall de Windows crea las llaves:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"\??\C:\WINDOWS\system32\winlogon.exe" = "\??\C:\WINDOWS\system32\winlogon.exewinlogon.exe:*:Enabled:NTSS"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]\
StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\ntss.exe"= "%System%\ntss.exe:*:Enabled:NTSS"

Como Backdoor se conecta a través de un puerto TCP aleatorio y busca un ruteador en la red local, obtiene su dirección IP WAN y abre un puerto Backdoor usando el protocolo Universal Plug and Play (UPnP)

De lograr su objetivo a pesar de que el sistema infectado se encuentre detras del ruteador y tenga su dirección IP privada, el autor podrá acceder al mismo.

Finalmente se conecta y envia la dirección IP y el puerto TCP del Backdoor al URL dep.mvl0an6.com, desde el cual podrá recibir instrucciones y ejecutar acciones arbitrarias en forma remota.

PER ANTIVIRUS® versión 10.2 con registro de virus al 24 de Septiembre del 2007 detecta y elimina este toyano/backdoor.