Zdemon 1.26

ZDEMON 1.26, destructivo troyano/backdoor controla remotamente sistemas, ocasiona múltiples estragos.

Troj/Zdemom v.1.26

Zdemon 1.26 es un destructivo troyano/backdoor reportado el 07 de Mayo del 2003 que ingresa a los sistemas por defecto, a través de los puertos 10001 (SCP Configuration Port) y 10002 (Poker), aunque puede ser configurable, con un archivo de nombre Z100.exe, de 791 KB de extensión.

La muestra nos fue enviada por un miembro del portal de Indonesia:

http://www.indovirus.net

Una vez dentro del sistema, el hacker poseedor del software Cliente toma el control remoto del equipo, robando passwords y ejecutando una variedad de acciones y estragos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me, incluyendo los servidores NT/2000, está desarrollado en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Cuando el troyano es ejecutado se auto-copia a la carpeta %System% con el nombre de WZ100.exe y para activarse la siguiente vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Micro" = "%System%\Z100.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Para activarse al reiniciar Windows 95/98/Me, modifica la línea Shell del archivo SYSTEM.INI:

SYSTEM.INI
[windows]
shell=%System%\Z100.exe

El hacker poseedor de software Cliente no solamente recibirá la información capturada a través de los puertos 10001 y 10002, sino que además tomará el control remoto de los sistemas.

Editor: escrito en Borland Delphi.

Cliente: escrito en Borland Delphi.

Los payloads de este troyano/backdoor son los siguientes:

Ingresa al sistema por defecto, a través los puertos 10001 y 10002, aunque puede ser configurable.
Modifica la configuración de Seguridad de los sistemas.
Deshabilita los procesos de antivirus, firewalls y sistemas de control.
Muestra una falsa pantalla de error.
Captura información del hardware, sistema, direcciones de correo y roba passwords de archivos, memoria caché. ICQ, etc.
Captura los nombres de los usuarios y passwords de discado directo para acceso a Internet.
Envía la información al hacker a través de los puertos abiertos.
Suspende, re-inicia, apaga o colapsa el sistema.
Abre un servidor FTP interno.
Extrae o descarga archivos al sistema.
Modifica los registro de MS Windows.
Define o renombra el nombre del Servidor.
Ejecuta archivos o programas, crea, renombra o borra archivos y carpetas.
Ejecuta o termina Procesos en actividad.
Monitorea el sistema en forma remota.
Envía mensajes de correo con archivos infectados a redes con recursos compartidos.
Controla el teclado, mouse, la lectora de CD ROM y la pantalla.
Activa o desactiva las cámaras Web.
Borra archivos.
Formatea el disco duro.

PER ANTIVIRUS® versión 8.0 con registro de virus al 07 de Mayo del 2003 detecta y elimina eficientemente este troyano/backdoor.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)