|
Troj/Backdoor/UprootKit
|
Uprootkit es un destructivo troyano/backdoor reportado el 16 de Diciembre del 2003, que ingresa a los sistemas través de
cualquier puerto que se encuentre abierto, vía Telnet con un archivo de nombre Uprootkit.exe, aunque también puede usar otros servicios de Internet tal como el IRC
(Internet Chat Relay).
Ingresado a un sistema, el hacker poseedor del software Cliente tomará el control de los equipos infectados, ejecutando una variedad de acciones y estragos. Evade la acción de firewalls. |
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en MS Visual C++ con una extensión de 48 KB y comprimido con el utilitario ASPack:
Una vez ingresado a un sistema se auto-copia al directorio %System% con el nombre de Uprootkit.exe y para activarse la siguiente vez que se inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpRootKit]
Al posicionarse en esta llave, el troyano/backdoor se convierte en un Servicio de Red del sistema.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
La siguiente vez que se inicie el equipo, el troyano se activará y revisará los procesos en ejecución, los cuales serán terminados, creará un Shell de control remoto, activará y desactivará el sistema y finalmente intentará ocasionar un ataque DoS por saturación SYN a un determinado sitio en la web.
El troyano revisa los paquetes ICMP (Internet Control Message Protocol), TCP (Transmission Control Protocol) y UDP (User Datagram Protocol) buscando comandos ocultos y recursos de Red compartidos, pudiendo evadir a los Firewalls que solo controlan y administran los puertos TCP y UDP.
Los payloads de este troyano/backdoor son los siguientes:
PER ANTIVIRUS® versión 8.4 con registro de virus al 16 de Diciembre del 2003 detecta y elimina eficientemente este troyano/backdoor.
