Randex.COX

RANDEX.COX, troyano/backdoor de redes con recursos compartidos IRC y de Correo roba información, etc.

W32/Randex.COX, Troj/Backdoor/Randex.COX

Randex.COX es un troyano/backdoor residente en memoria, reportado el 15 de Febrero del 2005, que se propaga en Redes con recursos compartidos y estaciones de trabajo configuradas con contraseñas débiles, con un archivo de nombre msdocument.exe.

Se conecta y recibe instrucciones desde pre-determinados canales del IRC (Internet Relay Chat) permitiendo al hacker tomar el control absoluto de los sistemas infectados, en forma remota, pudiendo ejecutar una serie de acciones destructivas.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++ con una extensión de 44.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema se copia a la carpeta %System% con el nombre de msdocument.exe y para poder activarse la próxima vez que se inicie el sistema, genera las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System Document Application" = "%System%\msdocument.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"System Document Application" = "%System%\msdocument.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Document Application" = "%System%\msdocument.exe"

Al siguiente re-inicio el troyano intenta ingresar y autenticarse como Administrador a una relación de direcciones IP generadas aleatoriamente configuradas con contraseñas débiles y de lograrlo, se auto-copia a las mismas, ejecutándose en memoria para continuar propagándose.

A través del puerto TCP 24300 se conecta a un servidor IRC en el dominio nt.chiriroza.net permitiendo que un intruso se conecte como usuario.

Luego activa un servidor identificador en el puerto TCP 113, mediante el cual enviará la información capturada por el Backdoor, desde el cual recibirá instrucciones y ejecutará acciones tales como:

Extrae información relacionada al sistema, incluyendo su configuración de hardware.
Descarga archivos a los sistemas, entre ellos una versión actualizada del gusano.
Ejecuta y servidor Proxy (socks4).
Redirecciona el tráfico TCP.
Borrar recursos compartidos locales.
Detiene procesos en ejecución.
Rastrea puertos desde la red infectada buscando sistemas con vulnerabilidades.
Envía mensajes de correo.
Roba claves de CD de varios juegos de PC, las cuales envía al atacante a través del IRC (Internet Relay Chat).
Ejecuta ataques DoS en forma aleatoria, vía PING, SYN, y UDP.

PER ANTIVIRUS® versión 9.1 con registro de virus al 15 de Febrero del 2005 detecta y elimina eficientemente este troyano/backdoor.