Trojan: BackGate Kit (NT.Hack). Múltiples herramientas de hackeo

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 317 - Año 5 - Lunes 21 de mayo de 2001

Nombre: BackGate Kit
Tipo: Caballo de Troya (Múltiples herramientas)
Alias: NT.Hack

El troyano Win32.NTHack.dll (ver VSantivirus No. 311 - Año 5 - Martes 15 de mayo de 2001, Win32.NT.Hack.dll. Robador de claves para Windows NT/2000) es parte de esta herramienta conocida como BackGate kit. La misma es usada aprovechándose de las vulnerabilidades conocidas como "Web Server Folder Traversal Vulnerability" o "File Permission Canonicalization Vulnerability" para obtener acceso a los servidores bajo Internet Information Server (IIS) versiones 4 y 5.

Generalmente, un servidor atacado con esta herramienta, a través de dichas vulnerabilidades, puede recibir un archivo llamado E.ASP. Luego, un archivo de proceso por lotes (DL.BAT), es generado para descargar y lanzar el DL.EXE, desde un servidor FTP seleccionado por el atacante. Este servidor también pudo haber sido víctima de esta herramienta.

El archivo DL.EXE se encarga de descargar una serie de archivos al sistema local, hasta un total de 16, desde cualquier otro FTP. Estos archivos tendrán estos nombres:

00.D
01.D
02.D
[ . . . ]
15.D

Los reportes obtenidos hasta la fecha, indican que al menos se utilizan hasta 14 archivos. Esta serie de archivos incluyen un servidor FTP, un Proxy, el troyano mencionado antes Win32.NT.Hack.dll (Win32/PWS.Gina.Trojan) y archivos de configuración.

00.D es renombrado como INSTALL.BAT y se ejecuta, comenzando la instalación del troyano PWS.Gina.Trojan, y los servidores FTP y el Proxy, también troyanizados. Esta es la lista completa con sus nombres originales:

dir.txt
FireDaemon.exe (Comprimida con la utilidad UPX, esta herramienta sirve para registrar ilegalmente cualquier ejecutable Win32 como un servicio NT, lo cuál hace que el proceso quede oculto en la lista de tareas).
login.txt
MMtask.exe (WinGate 3.9 comprimido con UPX, usado ilegalmente por el atacante)
NewGina.dll (Troyano para capturar nombres y contraseñas del usuario en texto plano)
reggina.exe (Se usa para registrar la librería NewGina.dll para que intercepte el proceso de Login)
regit.exe (El archivo original de Windows REGEDIT.EXE)
restrict.exe (PETite comprimido)
restsec.exe (Sleep.Exe y Beep.Exe, originales de Microsoft, usados ilegalmente por el atacante)
settings.reg (Para registrar ilegalmente el WinGate)
SUD.exe (Comprimido con UPX, el archivo Serv-U, usado ilegalmente por el atacante)
makeini.exe (Es usado para cambiar el directorio de inicio de Serv-U en SUD.INI)
SUD.ini (Archivo de configuración para SUD.exe)

Un directorio oculto (+H) y también marcado como del sistema (+S), es creado para guardar los siguientes archivos:

FireDaemon.exe (será borrado después)
SUD.exe
SUD.bak
login.txt
dir.txt
MMtask.exe

En un servidor instalado con las configuraciones por defecto, este directorio será:

C:\WINNT\system32\os2\dll\new

Newgina.dll será copiado al directorio System y marcado como del sistema y oculto (+S +H).

El registro es modificado para que el troyano Win32.NTHack.dll sea invocado cada vez que se inicie el proceso de login:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
GinaDLL = [camino completo]\NewGina.dll

También se crea esta clave, que invocará el archivo original de Windows cuando el troyano termine su tarea:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
OriginalGinaDLL = [archivo original]

El Proxy y el FTP troyanizados, son instalados e iniciados. Para ello se crean estas claves en el registro:

HKLM\System\CurrentControlSet\Services
MMtask = [camino completo]\MMtask.exe

HKLM\System\CurrentControlSet\Services
OS2srv = [camino completo]\SUD.exe

Luego de la instalación, son borrados los archivos que no son ya necesarios.

También se crea el directorio "\adminback0810\root" en la misma unidad de disco usada por el atacante como el directorio principal del servidor FTP del troyano.

Eliminación de BackGate Kit de un sistema infectado

Para borrar los archivos que instala el BackGate kit, siga estos pasos:

1. Busque y borre las siguientes ramas del registro:

HKLM\System\CurrentControlSet\Services\MMtask
HKLM\System\CurrentControlSet\Services\OS2srv
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

2. Reinicie el sistema, y borre el archivo NewGina.dll del directorio "System".

3. Borre el directorio "C:\WINNT\system32\os2\DLL\new" y su contenido.

4. Busque y borre el directorio "\adminback0810\root".

Note que el permiso de acceso a estos dos directorios están marcados como sólo del Sistema, por lo que se requiere tener el nivel de acceso del administrador para borrarlos.

5. Las contraseñas a las cuentas capturadas por el troyano "Win32.NTHack.dll" y guardadas en "C:\543567.tmp", deberán ser cambiadas.

6. Luego de averiguar cuáles son estas contraseñas, borre el archivo "C:\543567.tmp".

7. Después de borrar estos archivos, se recomienda actualizar el servidor con los parches respectivos, para evitar ser nuevamente atacado.

Los parches de Microsoft están disponibles en:
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp

Parches para las versiones 4 de IIS:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

Parches para las versiones 5 de IIS:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

Más información sobre la seguridad en servidores IIS:
http://www.microsoft.com/technet/security/iis5chk.asp
http://www.microsoft.com/technet/security/tools.asp

Fuente: Computer Associates

Ver también:
VSantivirus No. 311 - 15/may/01
Win32.NT.Hack.dll. Robador de claves para Windows NT/2000

(c) Video Soft - http://www.videosoft.net.uy