Cabrotor

CABROTOR, peligroso Troyano/Backdoor de Control Remoto.

TROJ/BACKDOOR_CABROTOR/CABRONATOR

CABROTOR es un peligroso troyano/backdoor reportado el 27 de Agosto del 2002, desarrollado en España por un hacker auto-denominado EIGranOscarin. Ha empezado a propagarse en diversos países del mundo, incluyendo el Perú. Es sumamente nocivo y destructivo, ya que al tomar el control remoto de cualquier servidor o equipo infectado puede ocasionar daños irreversibles.

Es un PE (Portable Ejecutable) e infecta todos los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/.NET Server.

El envío de este Troyano/Backdoor se realiza con un simple Telnet o en forma masiva, con herramientas Rastreadoras de Puertos (Port Scanners) disponibles en muchos portales de Hackers, a las cuales se dan diversos rangos de direcciones IP en lotes, con los Nos. de los puertos determinados. También es posible infectar archivos en redes compartidas, mensajes de correo con archivos anexados o en canales de Chat.

Está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de los Antivirus:

http://upx.sourceforge.net

Emplea los puertos 7721 y 7724 para infectar a los equipos.

Este backdoor contiene 3 componentes principales:

CaBrONaToR.exe - archivo Cliente que envía los comandos al servidor remoto.
CaBrONeDiT.exe - editor del servidor que modifica las configuraciones originales por defecto.
8======D.exe - servidor troyano que varía hasta 260 KB y es re-nombrado como ASDAPI.EXE

Una vez ejecutado, el backdoor se auto-copia al directorio raíz C:\MSWSIGX.DLL y al directorio de Windows con el nombre de ASDAPI.EXE modificando las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
LoadPowerProfile "%WindirR%\ASDAPI.EXE"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
LoadPowerProfile "%Windir%\ASDAPI.EXE"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El troyano abre la conexión en los Puertos 7721 y 7724 y espera los comandos del cliente. El Backdoor toma control del servidor, estación de trabajo o equipo individual infectado, pudiendo ejecutar los siguientes comandos:

Reporta información del sistema (versión de Windows, CPU, Nombre_de_Usuario, Empresa, etc.
Abre/cierra la bandeja del CD o DVD
Reporta los directorios, carpetas y los archivos allí contenidos y ejecuta comandos.
Envía información: RAS (Remote Access Server), MSN Messenger y servicios .NET
Desactiva o reinicia Windows, descarga o envía cualquier archivo.
Substrae o cambia Claves de Acceso o archivos de Passwords.
Ejecuta Negación de Servicios DoS que saturan servidores web, de correo y LAN.
Realizar acciones nocivas o dañinas como manipular el mouse, mostrar/ocultar la Barra de Tareas.
Formatea el disco duro, etc.

PER ANTIVIRUS® versión 7.6 con registro de virus al 27 de Agosto del 2002 detecta y elimina eficientemente este troyano Backdoor y sus variantes.