|
El troyano es ejecutado continuamente en segundo plano (background), lo cual permitirá que los intrusos pueden acceder al sistema a través de un canal de Chat que cuenta con un archivo BOT.
Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003 ,desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ser ejecutado se copia a la ruta %System%\dllcache\ con el nombre de Rtsecar.exe, cuyo archivo registra como un driver de servicio del sistema de nombre "Microsoft Media" y para ejecutarse la próxima vez que se re-inicie el sistema modifica las llaves:
[HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Media]
"Microsoft Media" = "%System%\dllcache\Rtsecar.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo intenta ingresar a servidores MS SQL y redes con recursos compartidos, configuradas con contraseñas débiles, usando el método de la fuerza bruta, generando un lista de nombres de usuarios y contraseñas aleatorias.
Actuando como Backdoor abre un puerto aleatorio y se comunica con un servidor IRC (Internet Chat Relay) uniéndose a un canal de chat cifrado, el cual contiene un BOT que ejecutará comandos en forma remota, tales como:
PER ANTIVIRUS® versión 10.1 con registro de virus al 19 de Junio de 2007 detecta y elimina este troyano/backdoor.
