13 de enero de 2017

Los gusanos son programas nocivos que pueden difundirse de forma autónoma, pero no pueden infectar los archivos ejecutables. Los analistas de virus de la empresa Doctor Web investigaron uno de estos troyanos que infecta los archivos RAR, elimina otras aplicaciones nocivas y usa para su propia difusión el sistema de acceso remoto VNC.

El gusano llamado BackDoor.Ragebot.45 recibe los comandos usando el protocolo de intercambio de mensajes de texto IRC (Internet Relay Chat). Para realizarlo, se conecta al canal de chat por el cual los malintencionados le envían las directivas administrativas al troyano.

Al infectar el equipo bajo la administración de Windows, BackDoor.Ragebot.45 inicia en el mismo el servidor FTP que usa para descargar su propia copia en el Pc atacado. Luego escanea las subredes disponibles en busca de los nodos con el puerto abierto 5900 usado para organizar la conexión usando un sistema de acceso remoto al escritorio Virtual Network Computing (VNC). Al detectar esta máquina, BackDoor.Ragebot.45 intenta obtener el acceso no sancionado a la misma al averiguar la contraseña usando un diccionario.

En caso de hackear correctamente, el gusano establece la conexión VNC al equipo remoto y envía las señales de pulsaciones de teclas, usando las cuales envía el interpretador de comandos CMD y ejecuta el código en el mismo para descargar su propia copia por protocolo FTP. De esta forma, el gusano se difunde automáticamente.

Otra función de BackDoor.Ragebot.45 es la búsqueda y la infección de archivos RAR en dispositivos extraíbles. Al detectar un archivo RAR, el gusano coloca su propia copia en el mismo, llamada setup.exe, installer.exe, self-installer.exe o self-extractor.exe. Para infectar el equipo, el usuario mismo debe iniciar el archivo ejecutable extraído del archivo.

Además, el troyano copia a sí mismo a la carpeta del cliente ICQ, así como un conjunto de programas destinados para establecer conexiones P2P. Al recibir el comando correspondiente de los malintencionados, BackDoor.Ragebot.45 busca otros troyanos en el sistema, al detectar los cuales finaliza sus procesos y elimina los archivos ejecutables. El troyano dispone de «listas blancas» especiales que contienen los nombres de archivos (básicamente, los archivos de sistema Windows) que ignora permitiéndoles funcionar en el equipo infectado.

La muestras de una versión antigua de BackDoor.Ragebot.45 se registraron en acceso público. Se puede suponer que por esta razón el programa nocivo se difundirá activamente en el futuro. El antivirus Dr.Web detecta y elimina BackDoor.Ragebot.45, por lo tanto, este troyano no es peligroso para nuestros usuarios.

Más información sobre el troyano