|
VSantivirus No. 317 - Año 5 - Lunes 21 de mayo de 2001
Nombre: BackGate Kit
Tipo: Caballo de Troya (Múltiples herramientas)
Alias: NT.Hack
El troyano Win32.NTHack.dll (ver VSantivirus No. 311 - Año 5 - Martes 15 de mayo de 2001, Win32.NT.Hack.dll. Robador de claves para Windows NT/2000) es parte de esta herramienta conocida como BackGate kit. La misma es usada aprovechándose de las vulnerabilidades conocidas como
"Web Server Folder Traversal Vulnerability" o
"File Permission Canonicalization Vulnerability" para obtener acceso a los servidores bajo Internet Information Server (IIS) versiones 4 y 5.
Generalmente, un servidor atacado con esta herramienta, a través de dichas vulnerabilidades, puede recibir un archivo llamado
E.ASP. Luego, un archivo de proceso por lotes (DL.BAT), es generado para descargar y lanzar el
DL.EXE, desde un servidor FTP seleccionado por el atacante. Este servidor también pudo haber sido víctima de esta herramienta.
El archivo DL.EXE se encarga de descargar una serie de archivos al sistema local, hasta un total de 16, desde cualquier otro FTP. Estos archivos tendrán estos nombres:
00.D
01.D
02.D
[ . . . ]
15.D
Los reportes obtenidos hasta la fecha, indican que al menos se utilizan hasta 14 archivos. Esta serie de archivos incluyen un servidor FTP, un Proxy, el troyano mencionado antes
Win32.NT.Hack.dll (Win32/PWS.Gina.Trojan) y archivos de configuración.
00.D es renombrado como INSTALL.BAT y se ejecuta, comenzando la instalación del troyano
PWS.Gina.Trojan, y los servidores FTP y el Proxy, también troyanizados. Esta es la lista completa con sus nombres originales:
- dir.txt
- FireDaemon.exe (Comprimida con la utilidad UPX, esta herramienta sirve para registrar ilegalmente cualquier ejecutable Win32 como un servicio NT, lo cuál hace que el proceso quede oculto en la lista de tareas).
- login.txt
- MMtask.exe (WinGate 3.9 comprimido con UPX, usado ilegalmente por el atacante)
- NewGina.dll (Troyano para capturar nombres y contraseñas del usuario en texto plano)
- reggina.exe (Se usa para registrar la librería NewGina.dll para que intercepte el proceso de Login)
- regit.exe (El archivo original de Windows REGEDIT.EXE)
- restrict.exe (PETite comprimido)
- restsec.exe (Sleep.Exe y Beep.Exe, originales de Microsoft, usados ilegalmente por el atacante)
- settings.reg (Para registrar ilegalmente el WinGate)
- SUD.exe (Comprimido con UPX, el archivo Serv-U, usado ilegalmente por el atacante)
- makeini.exe (Es usado para cambiar el directorio de inicio de Serv-U en SUD.INI)
- SUD.ini (Archivo de configuración para SUD.exe)
Un directorio oculto (+H) y también marcado como del sistema (+S), es creado para guardar los siguientes archivos:
FireDaemon.exe (será borrado después)
SUD.exe
SUD.bak
login.txt
dir.txt
MMtask.exe
En un servidor instalado con las configuraciones por defecto, este directorio será:
C:\WINNT\system32\os2\dll\new
Newgina.dll será copiado al directorio System y marcado como del sistema y oculto (+S +H).
El registro es modificado para que el troyano Win32.NTHack.dll sea invocado cada vez que se inicie el proceso de login:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
GinaDLL = [camino completo]\NewGina.dll
También se crea esta clave, que invocará el archivo original de Windows cuando el troyano termine su tarea:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
OriginalGinaDLL = [archivo original]
El Proxy y el FTP troyanizados, son instalados e iniciados. Para ello se crean estas claves en el registro:
HKLM\System\CurrentControlSet\Services
MMtask = [camino completo]\MMtask.exe
HKLM\System\CurrentControlSet\Services
OS2srv = [camino completo]\SUD.exe
Luego de la instalación, son borrados los archivos que no son ya necesarios.
También se crea el directorio "\adminback0810\root" en la misma unidad de disco usada por el atacante como el directorio principal del servidor FTP del troyano.
Eliminación de BackGate Kit de un sistema infectado
Para borrar los archivos que instala el BackGate kit, siga estos pasos:
1. Busque y borre las siguientes ramas del registro:
HKLM\System\CurrentControlSet\Services\MMtask
HKLM\System\CurrentControlSet\Services\OS2srv
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
2. Reinicie el sistema, y borre el archivo
NewGina.dll del directorio "System".
3. Borre el directorio "C:\WINNT\system32\os2\DLL\new" y su contenido.
4. Busque y borre el directorio "\adminback0810\root".
Note que el permiso de acceso a estos dos directorios están marcados como sólo del Sistema, por lo que se requiere tener el nivel de acceso del administrador para borrarlos.
5. Las contraseñas a las cuentas capturadas por el troyano
"Win32.NTHack.dll" y guardadas en "C:\543567.tmp", deberán ser cambiadas.
6. Luego de averiguar cuáles son estas contraseñas, borre el archivo
"C:\543567.tmp".
7. Después de borrar estos archivos, se recomienda actualizar el servidor con los parches respectivos, para evitar ser nuevamente atacado.
Los parches de Microsoft están disponibles en:
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
Parches para las versiones 4 de IIS:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
Parches para las versiones 5 de IIS:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
Más información sobre la seguridad en servidores IIS:
http://www.microsoft.com/technet/security/iis5chk.asp
http://www.microsoft.com/technet/security/tools.asp
Fuente: Computer Associates
Ver también:
VSantivirus No. 311 -
15/may/01
Win32.NT.Hack.dll. Robador de claves para Windows NT/2000
(c) Video Soft - http://www.videosoft.net.uy
|
|