Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Backdoor.W32/Sumtax

Alias:
Backdoor.Sumtax (Symantec)

Descripción:
Troyano con capacidades de puerta trasera que otorga al atacante remoto acceso ilegítimo al sistema infectado.

El intruso puede realiza en el sistema atacado acciones como descargar, ejecutar y eliminar ficheros o incluso intentar ataques contra terceros sistemas.

Detalles:
Cuando Backdoor.W32/Sumtax es ejecutado, realiza las siguientes acciones:

  1. Crea el directorio C:\Winnt\System32\Security\Bin.

  2. Inserta los siguientes ficheros en el directorio \Bin que acaba de crear:
    • Abc.dll*
    • Blah.txt*
    • Bugslayerutil.dll*
    • Cygwin1.dll*
    • Delete.bat
    • Die.exe
    • Ip.txt*
    • Jasfv.dll*
    • Jasfv.ini*
    • Kill.exe*
    • Ks.bat
    • Moo.dll*
    • Oncrpc.dll*
    • Pass.bat
    • Perform.ini
    • Psexec.exe*
    • Regkeyadd.reg
    • Remote.ini
    • Restart.bat
    • S.bat
    • Script1.ini
    • Script2.ini
    • Secure.bat
    • Secure.exe
    • Secure_all.bat
    • Serv-u.ini
    • Servucrashreport.txt*
    • Servudaemon.ini*
    • Servustartuplog.txt*
    • Setup.bat
    • Setup.exe*
    • Start.txt
    • Sys.txt
    • Ttg.exe*
    • Tzolibr.dll*
    • Update1.bat
    • Wm.txt
    • X*
    • Xscan.exe*

Nota: Los ficheros marcados con ( * ) son bien aplicaciones comerciales, bien ficheros de texto límpios, de modo que algunas aplicaciuones antivirus no los detectan.

  1. Para ejecutarse automáticamente cada vez que el sistema se reinicie, añade los valores citados a la siguiente clave del registro de Windows: 
    Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Valores:
"rundll134"="C:\Winnt\System32\Security\Bin\die.exe C:\Winnt\System32\
Security\Bin\
ttg.exe"
"rundll569"="C:\Winnt\System32\Security\Bin\die.exe C:\Winnt\System32\
Security\Bin\
secure.exe - ruta -\X"
"rundll777"="C:\Winnt\System32\Security\Bin\die.exe C:\Winnt\System32\
Security\Bin\
mdll.exe"
"rundll946"="C:\Winnt\System32\Security\Bin\die.exe C:\Winnt\
System32\Security\Bin\
secure.bat"
Backdoor.W32/Sumtax proporciona las siguientes funcionalidades a atacantes remotos:
  • Subida y descarga de ficheros.
  • Ejecución de ficheros.
  • Eliminación de ficheros.
  • Búsqueda de vulnerabilidades en el sistema atacado.
  • Lanzamiento de un ataque que copia y ejecuta ttg.exe en un sistema remoto (usando una cuenta por defecto con contraseña poco robusta).

Solución:

Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados