Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Randex.D es un gusano/troyano/backdoor reportado el 28 de Junio del 2003, que ingresa y se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles, con un archivo de nombre msmsgri3.exe.
El gusano ingresa a través de los puertos 3330, 3331, 3332, 3361, se conecta a servidores remotos e infecta archivos en unidades de red con recursos compartidos, usando el protocolo SMB (Server Message Block), para propagarse por el puerto 445.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 13.5 KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Cuando el gusano es ejecutado, se copia a los sistemas con Claves de Acceso débiles de la siguiente forma:

\\[dirección_IP_autenticada]\Admin$\system32\msmsgri32.exe
\\[dirección_IP_autenticada]\c$\winnt\system32\msmsgri32.exe
Luego intenta autenticarse como Administrador en las direcciones IP de los equipos remotos, haciendo uso de la breve siguiente lista de Claves de Acceso, contenidas en su código viral:

[ninguno + la tecla Enter]
admin
root
1
111
123
1234
123456
654321
!@#$
asdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
server
Asimismo programa una tarea para poder ejecutar el gusano la próxima vez que se inicie el sistema, generando la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“mssyslanhelper”=”msmsgri32.exe”

Al siguiente re-inicio del equipo el gusano libera y ejecuta el troyano/backdoor de nombre Payload.dat, el mismo que para activarse en el siguiente reinicio, crea esta llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“System Initialization” = “payload.dat”

Si el accionar de esta especie viral tiene éxito, enviará notificaciones al hacker poseedor del software Cliente, a través del puerto 545 (Kerberos encrypted remote shell -kfall) a la dirección IP 217.21.117.104, ubicada en Amsterdam, abriendo los siguientes puertos para recibir las instrucciones del atacante:

3330 (MCS Calypso ICF, empleada para el servicio de Chat)
3331 (MCS Messaging, servicio de Mensajería)
3332 (MCS Mail Server, servidor de Correo)
3361 (KV Agent, agente de KiloVoltio)
MCS (Messaging & Collaboration System) es un Sistema de Mensajería Colaborativa.

Los payloads de este troyano/backdoor son los siguientes:

- Intenta ingresar a los sistemas remotos con recursos compartidos como Administrador.
- Emplea una breve lista de Claves de Acceso.
- Si logra ingresar hace uso de todos los privilegios del Administrador de Red.
- Envía la información al hacker a través del puerto 445.
- Captura información de la configuración del servidor y de las estaciones de trabajo.
- Captura teclas digitadas por el usuario.
- Roba claves de acceso y números de tarjetas de crédito.
- Control de Acceso Remoto de los archivos y programas de los sistemas atacados
- Activa y desactiva el equipo, lo suspende o apaga.
- Puede enviar comandos a través del Chat.
- Asimismo puede enviar mensajes de correo en forma masiva.
- Borra archivos y formatea el disco duro.

Texto extraído de: http://www.perantivirus.com/sosvirus/virufamo/randexd.htm