Backdoor.Cmder.L

SINTOMAS:

Presencia de una carpeta llamada “Update” en la carpeta "%Program Files%"
Presencia de los siguientes archivos en la carpeta "%Program Files%\Update":
- winkey.dll
- winkey.exe

DESCRIPCIÓN TÉCNICA:

El virus es una dll, normalmente con el nombre mouse_dll.dll o winkey.dll, que exporta tres funciones: WorkOne, WorkOne_t y SecondWork. Normalmente, este virus está liberado por un troyano llamado Trojan.Dropper.RRO. Cuando se ejecuta este troyano, crea una carpeta llamada “Update” en la carpeta "%Program Files%", copia el archivo del backdoor con el nombre winkey.exe y winkey.dll, registra la dll como un servicio (para que pueda iniciarse al arrancar Windows) y llama a la función WorkOne.

Al llamar a la función WorkOne, ésta intenta inyectarse en el proceso explorer.exe, o si no lo encuentra, en el proceso lsass.exe. Desde aquí se llama a la función WorkOne_t.

Cuando se llama a la función WorkOne_t, ésta inicia Internet Explorer, se inyecta en este proceso y llama a la función SecondWork. La función SecondWork, a su vez, crea un hilo encargado de las funciones principales del backdoor.

El hilo busca el archivo winkey.exe (que realiza lo mismo que la dll) y descifra algunos datos. En primer lugar, utiliza algunas operaciones simples para descifrar una clave que se encargará de desencriptar la url del host remoto, el puerto y otra información útil. Esta versión del virus intenta conectarse a http://xsz.8[oculto].org en el puerto 80 (al estar inyectado en Internet Explorer, puede utilizar este puerto y eludir la protección del cortafuego).

A continuación, crea un mutex llamado “Mouse” y se conecta al servidor. Una vez se ha completado la conexión, el virus busca información del sistema y la copia en un buffer formateado con estilo HTML. El buffer enviado por el virus tiene el siguiente aspecto:

000310TB
DriveId_del_último_controlador_en_formato_hexadecimal+”310”
Nombre_Equipo
Ip del equipo
Windows 2000oNT / WindowsXP / Windows2003 / Otro Windows
Nombre del usuario
Nombre del navegador predeterminado
frecuencia_de_la_CPU HHz
tamaño_memoria

Las dos primeras líneas son estándar, probablemente utilizadas para la verificación en el host remoto. La segunda línea contiene un número único, lo que permite la identificación de la víctima. El resto de líneas se explican por sí mismas. Los datos transmitidos entre el servidor y el host remoto están cifrados por una operación compleja.

A partir de ese momento, el servidor esperará permanentemente la recepción de comandos desde el host remoto para ejecutarlos. Los comandos tienen el siguiente formato: id_comando Parámtero1\n\rParámtero2. Según el comando enviado, el servidor puede enviar información al host remoto. Los siguentes comandos e ids están definidos por el servidor:

100:
Devuelve el tipo y espacio libre de todos los discos disponibles;

101NombreArchivo:
Devuelve la fecha de última modificación del archivo y su tamaño en el siguiente formato:
101\aa-mm-ddTamañoArchivo|nombreArchivo

102NombreArchivo:
Carga un archivo en el host remoto;

103NombreArchivo:
Descarga un archivo desde el host remoto;

104NombreArchivo:
Elimina un archivo;

105Proceso
Inicia un proceso, si éste se inicia con éxito devuelve Cmd001 al host remoto, si no se puede crear el proceso devuelve Cmd002, sino, devuelve Cmd003;

107Carpeta1\r\nCarpeta2
Copia de manera repetitiva la carpeta1 a la carpeta2;

108NombreCarpeta
Crea una carpeta;

110
Reenvía datos al servidor;

112Archivo1\r\nArchivo2
Renombra el archivo1 al archivo2;

201
Abre una consola de comandos y crea una tubería entre la consola de comandos y el socket del host remoto. Se utiliza para ampliar las funcionalidades del backdoor.

202
Recolecta información sobre el sistema en el formato indicado anteriormente.

INSTRUCCIONES DE LIMPIEZA:

Analice sus archivos con BitDefender para desinfectarlos.

ANALIZADO POR:

Mihai Razvan Benchea, investigador de virus