Randex.BTB

RANDEX.BTB, troyano/backdoor ingresa y se autentica como Administrador toma control de los sistemas.

W32/Randex.BTB, Troj/Backdoor/Randex.BTB

Randex.BTB es un troyano/backdoor residente en memoria, reportado el 08 de Noviembre del 2004, que se propaga en Redes con recursos compartidos y estaciones de trabajo configuradas con contraseñas débiles, con un archivo de nombre Wupdmngr.exe.

Recibe instrucciones desde un canal de IRC (Internet Relay Chat) pre-determinado permitiendo al hacker tomar el control absoluto de los sistemas infectados, en forma remota. Esta especie viral infecta sistemas de 32 y 64 bits.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, Windows 64-bits (AMD64), Windows 64-bits (IA64) incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++ con una extensión de 53.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema se copia a la carpeta %System% con el nombre de Wupdmngr.exe y para poder activarse la próxima vez que se inicie el sistema, genera las siguientes llaves de registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Update Manager" = "%System%\wupdmngr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Update Manager" = "%System%\wupdmngr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Update Manager" = "%System%\wupdmngr.exe"

Al siguiente re-inicio el troyano intenta ingresar y autenticarse como Administrador en una relación de direcciones IP aleatorias, que estuvieren configuradas con contraseñas débiles y de lograr su objetivo se auto-copia a las las mismas ejecutándose en memoria para continuar propagándose:

Luego abre un Backdoor que permitirá al atacante tener acceso irrestricto al sistema infectado y poder tomar control del mismo, en forma remota.

Esta acción le realiza conectándose a un pre-determinado canal IRC (Internet Relay Chat) desde el cual recibirá instrucciones y ejecutará acciones tales com:

NTscan, permite rastrear los sistema con contraseñas débiles, ingresar, copiarse y ejecutarse en memoria. .
CDkey, captura claves de CD de una larga lista de juegos de computadoras, las cuales envía al atacante a través del IRC (Internet Relay Chat).
Sysinfo, extrae la información relacionada al sistema, incluyendo su configuración de hardware.
DDoS, ejecuta ataques DoS vía PING, SYN, y UDP.
Update - descarga archivos, que usa para actualizar la versión del virus y luego la ejecuta en memoria.
s0x - ejecuta un Proxy en el Socks4 a través del puerto 40403.

Los payloads de este troyano/backdoor son los siguientes:

Ingresa a los sistemas remotos configurados con contraseñas débiles de una lista de IP aleatorias.
Si logra ingresar hace uso de todos los privilegios del Administrador de Red.
Envía la información al hacker a través de un canal predeterminado de Chat.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Captura claves de CD de una larga lista de juegos de computadoras.
Ejecuta ataques DoS en firma aleatoria y se actualiza descargando archivos a los sistemas.
Ejecuta un Proxy en el Socks4 a través del puerto 40403.

PER ANTIVIRUS® versión 8.9 con registro de virus al 08 de Noviembre del 2004 detecta y elimina eficientemente este troyano/backdoor.