USBALEX troyano/backdoor se propaga en unidades lógicas roba información y envía a autor del gusano, etc.  

© Jorge Machado  Lima-Perú

W32/Usbalex, Troj/Usbalex

Usbalex es un destructivo troyano/backdoor reportado el 10 de Noviembre del 2006 que se propaga vía diversos servicios de Internet y abre un backdoor a través de puertos TCP aleatorios. 

Ingresado a un sistema se programa en las unidades lógicas del disco, ejecuta un Keylogger, captura teclas digitadas y substrae información del sistema. Borra determinados archivos.

Instala un software Servidor y e conecta de cualquier puerto TCP aleatorio al software remoto Cliente del autor del gusano desde donde ejecutará comandos y archivos maligno. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión promedio de 49 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado se copia a la siguientes unidades de disco y rutas con los nombres: 

C:\RECYCLER es la carpeta con atributo de "oculto" que Windows asigna a la papelera de reciclaje. 

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto se crea en C:\Program Files.

libera los siguientes archivos en discos removibles:

y crea los siguientes archivos en la carpeta %Temp%:

verifica la existencia de los siguientes archivos y de hallarlos, procede a borrarlos:

crea además los siguientes servicios:

para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Default" = "%UserProfile%\csrss.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "C:\RECYCLER\lsass.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="%UserProfile%\csrss.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%Windir%\System32\userinit.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"load" = "C:\RECYCLER\lsass.exe"

crea las siguientes sub-llaves de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsInfo]
 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TempServices]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsInfo]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TempServices]

Al siguiente inicio ejecuta su componente Keylogger que captura teclas digitadas, abre un Backdoor y se conecta a través de cualquier puerto TCP aleatorio al software remoto Cliente del autor del gusano a donde enviará la información del sistema y ejecutará en forma remota comandos arbitrarios, descargando y activando archivos malignos.

PER ANTIVIRUS® versión 9.9 con registro de virus al 10 de Noviembre del 2006 detecta y elimina eficientemente este troyano/backdoor. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS