SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Un troyano con puerta trasera (backdoor) ya controlado desde DAT 4235 se está propagando a nivel nacional
Intercepta todas las ejecuciones de .BAT, .COM, .DOC, .DOT, .EXE, .GIF, .HTM, .HTML, .JPG, .PIF, .RTF, o .TXT. Puede llegar a colgar el sistema
Nombre de virus: BackDoor-ANFDado que hemos tenido incidéncias en España, realizamos esta lista aunque ya se detecte desde DAT 4235
Existen varias versiones de este Troyano con consecuencias muy variantes. Es un servidor de acceso remoto, que genera una red de igual a igual en los sistemas infectados. Los sistemas infectados quedan expuestos a las acciones del hacker.
El troyano, lee la configuración de un fichero "CNFG", por tanto cada infección puede variar según lo que haya definido en dicho archivo. Este fichero incluye:
Autor
VERSIÓN
Puerto de conexión
Directorio donde se encuentra el troyano instalado
Nombre del fichero de instalación
Método de inicio
Puerto de entrada para aceptar las conexiones
Puerto para recibir ficheros
Numero de conexiones permitidas
Información IRC (servidores, nombres de usuarios, etc)
Network ID, en que red se encuentra.
Puertos para usar
Directorios ocultos
Plugins en uso
Los plugins que pueden ser distribuidos remotamente, estos módulos, añaden funcionalidad al componente servidor del troyano, tales como:
Mensages Spam IRC
Escaneo de puertos
Denegación de servicio (DDoS attack tool)
Proxy
Propagación por e-mail (el troyano puede propagarse por e-mail)
Modificaciones del sistema:
Genera dos claves en el registro de sistema para la ubicación:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion "InstallCID"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\VB5\Date "Installed"
Utiliza varios métodos para cargarse al inicio, se copia a sí mismo con el nombre y la ruta que le especifica el fichero de configuración, y modifica las siguientes claves de registro para asegurar su carga:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "WinLoader" = %Trojan path%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Runonce "WinLoader" = %Trojan path%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunServices "WinLoader" = %Trojan path%HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "WinLoader" = %Trojan path%HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce "WinLoader" = %Trojan path%HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnceEx\000x "WinLoader" = %Trojan path%HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices "WinLoader" = %Trojan path%HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServicesOnce "WinLoader" = %Trojan path%
Se carga automáticamente al ejecutar ficheros con extensiones .BAT, .COM, .DOC, .DOT, .EXE, .GIF, .HTM, .HTML, .JPG, .PIF, .RTF, o .TXT. Para asociarse a estas extensiones, modifica las siguientes claves:
HKEY_CLASSES_ROOT\batfile\shell\open\command
"(Default)" = %Trojan path% /exec:"%1" %*HKEY_CLASSES_ROOT\comfile\shell\open\command
"(Default)" = %Trojan path% /exec:"%1" %*HKEY_CLASSES_ROOT\exefile\shell\open\command
"(Default)" = %Trojan path% /exec:"%1" %*HKEY_CLASSES_ROOT\giffile\shell\open\command
"(Default)" = %Trojan path% /exec:%interpreter%"HKEY_CLASSES_ROOT\htmlfile\shell\open\command
"(Default)" = %Trojan path% /exec:%interpreter%HKEY_CLASSES_ROOT\jpegfile\shell\open\command
"(Default)" = %Trojan path% /exec:%interpreter%HKEY_CLASSES_ROOT\piffile\shell\open\command
"(Default)" = %Trojan path% /exec:"%1" %*HKEY_CLASSES_ROOT\txtfile\shell\open\command
"(Default)" = %Trojan path% /exec:%interpreter%HKEY_CLASSES_ROOT\Word.Document.8\shell\open\command
"(Default)" = %Trojan path% /exec:%interpreter%HKEY_CLASSES_ROOT\WordPad.Document.1\shell\open\command
"(Default)" = %Trojan path% /exec:%interpreter%
donde %interpreter% es el programa asociado que realiza la
carga del troyano.
Los valores originales son guardados en las siguiente rutas:
HKEY_CLASSES_ROOT\batfile\shell\open\command "winampold"
HKEY_CLASSES_ROOT\comfile\shell\open\command "winampold"
HKEY_CLASSES_ROOT\exefile\shell\open\command "winampold"
HKEY_CLASSES_ROOT\giffile\shell\open\command "winampold"
HKEY_CLASSES_ROOT\htmlfile\shell\open\command "winampold"
HKEY_CLASSES_ROOT\jpegfile\shell\open\command "winampold"
HKEY_CLASSES_ROOT\piffile\shell\open\command "winampold"
HKEY_CLASSES_ROOT\txtfile\shell\open\command "winampold"
HKEY_CLASSES_ROOT\Word.Document.8\shell\open\command "winampold"
HKEY_CLASSES_ROOT\WordPad.Document.1\shell\open\command "winampold"
Modifica los ficheros WIN.INI y System.INI:
Cambios en SYSTEM.INI
[boot] "shell" = explorer.exe %Trojan path%
Cambios en WIN.INI
[windows] "run" = (muchos espacios)%Trojan path%
Modifica y crea ficheros BAT:
Cambios en AUTOEXEC.BAT
" " (sólo el espacio en blanco)
ÿ
Cambios WINSTART.BAT
" " (sólo el espacio en blanco)
ÿ
Por tanto, el AUTOEXEC.BAT y el WINSTART.BAT cargarán los dos ficheros creados por el troyano, que son:
" .bat"
"ÿ.bat"
PARA ELIMINAR EL VIRUS
Se controla desde DATS 4235 ó superior y engine 4.1.60 ó superior, y para su eliminación debe iniciar el sistema en modo sólo símbolo del sistema y ejecutar el ELIBDANF.EXE.
Para Descargar la utilidad ELIBDANF.EXE, pulsar AQUI
SATINFO, VIRUSCAN SPAIN SERVICE Barcelona, 07 Marzo 2003
