|
VSantivirus No. 799 - Año 6 - Domingo 15 de setiembre de 2002
R0XR4T 1.1. Nuevo troyano brasileño
http://www.vsantivirus.com/r0xr4t11.htm
Por Marcos Rico (*)
marcos@videosoft.net.uy
Sigo recogiendo multitud de troyanos en Internet cada día. La proliferación de estos programas es preocupante, habida cuenta de las intenciones de algunos usuarios de troyanos. Aquí les muestro otro troyano que parece provenir de Brasil (el país del troyano Latinus; uno de los más temibles del que aún se le conocen algunas versiones no detectadas por todos los antivirus).
R0XR4T 1.1 es la nueva versión de este troyano presuntamente programado por c400s. Es profundamente configurable con su editor, así que las normas para su eliminación en los ordenadores que infecte son siempre orientativas pero nunca exactas.
Seguidamente paso a describir sus características más notables.
Editor:
1. Puede configurar el puerto de escucha del servidor. Por defecto es el 15000, pero puede ser cualquiera que el atacante elija.
2. El nombre del archivo que instala en los ordenadores infectados es por defecto MSRUNNER.EXE. Con el editor se puede cambiar por cualquier otro.
3. Puede protegerse el servidor del troyano con una clave para que sólo el atacante acceda a él.
4. Admite varios métodos de autoinicio. Todos ellos son configurables y elegibles mediante el editor. En el registro puede aparecer en Run:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
o en RunServices (para Win 9x y ME):
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
5. Con la clave de registro por defecto Microsoft Runner (también editable). También acepta entradas en Win.ini y System.ini. Posee también el método oculto implementado en troyanos como Sub7 que aquí c400s llama Stealth. Por defecto aparecen los cinco métodos activados.
6. Permite configurar dos tipos de notificación: ICQ y CGI. Por defecto sólo activa en el servidor la conexión mediante ICQ que apunta en teoría hacia la UIN del programador (67878589). La comunicación por CGI viene desactivada.
7. Puede deshabilitar múltiples cortafuegos, antivirus, antitroyanos, etc. La opción viene activada por defecto.
8. Permite editar un falso mensaje de error cuando la víctima ejecute el servidor. Por defecto no viene activada la función.
9. Puede comprimir el servidor con el célebre compresor UPX. Por defecto viene desactivada la función.
Cliente:
1. Maneja todo tipo de archivos. Crea directorios y los borra. Puede ejecutar también remotamente ejecutables. Puede activar un servidor de FTP (puerto 2150, editable) en el ordenador de la víctima, etc.
2. Posee un keylogger online que recoge todo lo tecleado por la víctima.
3. Ha clonado de Sub7 la llamada "Message Box". La interfaz gráfica es muy parecida, por no decir idéntica. "Message Box" son mensajes de advertencia que aparecerán en la pantalla de la víctima.
4. Posee un simulador EEF configurable. Por defecto muestra este mensaje cuando se activa:
Fatal error number #666FFF - Asshole detected!
5. Puede recoger las contraseñas guardadas en el ordenador de la víctima.
6. Permite chatear con la víctima.
7. Posee además funciones lúdicas intranscendentes como "abrir y cerrar el CD-ROM", deshabilitar Control + Alt + Del, desactivar Alt + Tab & Control + Esc, esconder la barra de herramientas, ocultar el reloj, apagar el monitor, etc.
8. Puede cerrar todas las aplicaciones, reiniciar el ordenador infectado, limpiar la CMOS, controlar los procesos de Windows, desinstalar el propio troyano, etc.
En resumen troyano casi clonado del celebérrimo Sub7 pero con gran funcionalidad en esta última versión (la cuarta tras R0XR4T 1.0 Beta, R0XR4T 1.0 Beta II y R0XR4T 1.0).
Algunos antivirus aún no lo detectan a pesar de que se publicó en Internet el 4 de agosto de 2002. Antivirus como KAV reconocen su código desde hace sólo unas horas con la nomenclatura
Backdoor.Roxrat.11.
Una vez más nuestra recomendación pasa por actualizar sus antivirus a la mayor brevedad y protegerse con un buen cortafuegos que impediría la conexión del servidor con el cliente aunque lo tuviéramos instalado.
(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|