Graybird.C

Graybird.C, troyano/backdoor roba información, controla remotamente sistemas, causa diversos estragos.

Troj/Backdoor/GrayBird.C

GrayBird.C es un destructivo troyano/backdoor de origen chino, reportado el 16 de Abril del 2003, variante del Graybird.B que ingresa a los sistemas través de cualquier puerto que se encuentre abierto, con un archivo de nombre HgzServer.exe de 765 KB de extensión. Una vez activado el troyano usa los puertos 21 (FTP) y 520-13 (Extended File Server-Daytime).

El hacker poseedor del software Cliente tomará el control remoto del sistema infectado, robará información y podrá ejecutar una variedad de acciones y estragos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en Borland Delphi y comprimido con el utilitario ASPack, que ofrece una copia de evaluación, pero que está disponible desprotegida ("craqueada") en diversos sitios de Internet:

http://www.aspack.com

Una vez ingresado al sistema el troyano auto-copia el archivo HgzServer.exe al directorio %System% y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"huigezi" = " %System%\HgzServer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"huigezi" = " %System%\HgzServer.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"huigezi" = " %System%\HgzServer.exe"

El troyano adicionalmente modificará la siguiente llave, agregando HgzServer.exe, con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .EXE.

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%System%\HgzServer.exe "%1" %*

En el los sistemas operativos Windows NT/2000/XP crea además la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="%system%\HgzServer.exe"

En Windows 95/98/Me modifica el WIN.INI agregándole una línea de comando de ejecución:

WIN.INI
[windows]
run = C:\%System%\HgzServer.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

La siguiente vez que se inicie el equipo, el troyano se activará y mostrará el clásico icono de texto en la pantalla de Escritorio de Windows, para pasar desapercibido:

Luego configura un servidor FTP (File Transfer Protocol) por el puerto TCP 21 y convierte al sistema infectado en un dispositivo de almacenamiento temporal de archivos.

A través del puerto TCP 520-13 (Extended File Server-Daytime) recibe instrucciones del hacker poseedor del Backdoor/Cliente, quien además tomará el control remoto del sistema o servidor afectado.

Los payloads de este troyano/backdoor son los siguientes:

Ingresa vía Telnet a través de cualquier puerto que se encuentre abierto en los sistemas.
Puede usar cualquier otro servicio de Internet.
Modifica los registros de Windows.
Instala un servidor FTP que le permite usar el sistema infectado como un almacenamiento temporal de archivos.
Captura los passwords de las claves de acceso de discado y del módem, de los URL con acceso restringido, claves de acceso de recursos compartidos, cuentas de correo basado en la web, etc.
Captura los nombres de usuarios y sus claves de acceso (Login)
Envía la información al hacker poseedor del software Cliente.
Ejecuta y controla remotamente archivos, programas, procesos, etc.
Descarga o extrae archivos en los sistemas atacados.
Controla en forma remota los sistemas infectados.
Formatea el disco duro.

PER ANTIVIRUS® versión 8.0 con registro de virus al 16 de Abril del 2003 detecta y elimina eficientemente este troyano/backdoor.