18 de febrero de 2016

Hoy día se conocen muchos programas nocivos destinados para descargar al equipo infectado otras aplicaciones nocivas, así como para ejecutar los comandos recibidos de los malintencionados. Otro backdoor de este tipo, detectado por los analistas de virus de la empresa Doctor Web en febrero, tiene varias peculiaridades interesantes que lo destacan entre troyanos similares.

Este programa nocivo llamado BackDoor.Andromeda.1407 se difunde por medio de otro troyano descargador — Trojan.Sathurbot.1, también conocido como «Hydra». El destino principal de BackDoor.Andromeda.1407 es ejecutar los comandos de los malintencionados, así mismo, para descargar e instalar otro software nocivo.

Al iniciarse, el backdoor comprueba la línea de comandos en busca de la clave "/test" y, en caso de encontrar la misma, visualiza en la consola el mensaje "\n Test - OK", y luego se finaliza. Es probable que esta función haya sido prevista por los creadores de virus para hacer pruebas de funcionamiento de varios empaquetadores de software. Luego el troyano intenta detectar si en el equipo están iniciadas las máquinas virtuales, las aplicaciones para supervisar los procesos o seguir las consultas del registro del sistema, así como algunos otros programas depuradores. Al detectar cualquier programa peligroso para sí mismo, el backdoor cambia al modo de suspensión continuo.

En la siguiente etapa, BackDoor.Andromeda.1407 recibe el número de serie del volumen del sistema del disco duro que usa activamente para generar los valores de varios objetos nombrados, en particular, las variables de entorno o en los mensajes enviados al servidor administrativo. Una vez iniciado, el backdoor por medio de un inject intenta cambiar a nuevo proceso y finalizar el inicial. Si el programa nocivo no consigue incrustarse en el proceso seleccionado, recibe la información determinada sobre el equipo infectado, así mismo, detecta el valor de bits del SO, su versión, los derechos del usuario actual y, por fin, la disposición del teclado configurada en el equipo atacado. Si el backdoor consigue detectar la disposición del teclado rusa, ucraniana, bielorrusa en Windows, se finaliza y se elimina del sistema automáticamente.

Luego BackDoor.Andromeda.1407 intenta detectar la hora exacta por medio de enviar solicitudes a los servidores europe.pool.ntp.org, north-america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org, pool.ntp.org, o solicita la hora del sistema si no consigue recibir respuesta de los recursos mencionados. El valor de hora se usa activamente por los complementos del troyano durante el funcionamiento. Luego el backdoor desactiva en la configuración de Windows la visualización de las notificaciones del sistema y, así mismo, detiene algunos servicios del sistema en función de la versión del SO.

Si el equipo infectado tiene instalado el sistema operativo Microsoft Windows 8 o superior, el troyano sigue funcionando con privilegios de usuario actuales, en Windows 7 intenta mejorar sus propios derechos de un modo conocido. Además, en el Windows 7 BackDoor.Andromeda.1407 desactiva el mecanismo de control de las cuentas de usuarios (User Accounts Control, UAC).

Pero así no finaliza el proceso de instalación del troyano en el sistema: el mismo desconecta la visualización de archivos ocultos en Navegador, y luego consulta varias carpetas del sistema consecutivamente, así como varias carpetas de perfil del usuario actual e intenta detectar cuál está abierta para escritura. Al detectar una carpeta de este tipo, a la misma se copia un dropper del troyano con nombre aleatorio, y luego a este archivo ejecutable se le atribuyen los atributos «del sistema» y «oculto», para ocultarlo del usuario, y se cambia la hora de creación del mismo. Por fin, BackDoor.Andromeda.1407 modifica las ramas del registro del sistema Windows, asegurando el inicio automático del módulo básico del programa nocivo.

El backdoor se comunica al servidor administradivo por medio de una clave especial cifrada, así mismo, las direcciones de los nodos de comandos también se almacenan en el cuerpo de toryano cifradas. Para aevriguar la dirección IP del equipo infectado, BackDoor.Andromeda.1407 consulta los servidores microsoft.com, update.microsoft.com, bing.com, google.com y yahoo.com, y la transmisión de la información se realiza usando el formato de intercambio de datos JSON (JavaScript Object Notation) cifrados. De esta forma el backdoor puede recibir de los malintencionados varias directivas administrativas entre las cuales hay comandos para descargar complementos extra, descargar e iniciar los archivos ejecutables, la actualización automática del troyano, la eliminación de todos los complementos del sistema infectado o de desinstalación del sistema infectado mismo.

Actualmente los analistas de virus de la empresa Doctor Web saben que BackDoor.Andromeda.1407 descarga e inicia en los equipos infectados las aplicaciones nocivas, tales como el troyano cifradorаг Trojan.Encoder.3905, el troyano bancario Trojan.PWS.Panda.2401, los troyanos Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 y muchos otros. BackDoor.Andromeda.1407 se detecta y se elimina correctamente por el software antivirus Dr.Web.

Más información sobre el troyano