|
Troyano y Backdoor Naninf.E en Windows
|
| Imprimir |
|
 | Naninf.E infecta a Windows desde las tradicionales vías de propagación de malware: redes P2P, spam y sitios maliciosos que lo descargan sin preguntar. Posee un componente backdoor para recibir las instrucciones remotas de su programador. |
Denominación: Backdoor.W32/Naninf.E
Tipo: Troyano y Backdoor.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño: 12800 bytes
Alias:Backdoor.Naninf.E por Symantec y BKDR_BREPBOT.A por Trend Micro. |
|
En su primera ejecución, genera un mutex u objeto indicador para evitar ejecutarse más de una vez en memoria:
svchon32.exe
Modifica llaves del registro para reiniciar sus operaciones junto con Windows:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ProtocolModuleCmd"="%System%\svchon32.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ProtocolModuleCmd"="%System%\svchon32.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
También busca deshabilitar cualquier cortafuegos que tengamos instalado para infiltrar al componente backdoor. Esto lo logra mediante un archivo temporal con extensión [nombre al azar].BAT, así consigue introducir al backdoor a la lista de componentes de confianza.
Finaliza algunos procesos correspondientes a aplicaciones de seguridad:
winzip.exe
scanregw.exe
update.exe
mcvsrte.exe
teatimer.exe
kpf4gui.exe
kpf4ss.exe
wupdmgr.exe
wuauclt.exe
wuauclt1.exe
symwsc.exe
savscan.exe
mrt.exe
ad-watch.exe
gcasserv.exe
ccevtmgr.exe
ccapp.exe
nmain.exe
navw32.exe
gcasdtserv.exe
mcupdate.exe
mcshield.exe
A través del puerto TCP 8080 y un dominio determinado, el backdoor consigue conectarse a un canal IRC:
163.1.213.194
66.108.20.7
67.164.54.64
69.216.104.25
69.220.225.80
69.254.144.52
24.178.108.231
24.231.133.199
24.248.188.53
65.26.31.192
24.3.168.130
Más Información:
|
Noticias 
