Ratega

RATEGA, destructivo troyano/backdoor controla remotamente sistemas, ocasiona múltiples estragos.

Troj/Ratega, W32/Ratega@mm

Ratega es un destructivo troyano/backdoor reportado el 29 de Abril del 2003, que ingresa a los sistemas través del puerto 6969, haciendo uso del troyano GateCrasher, con un archivo de nombre Win32.exe, de 312 KB de extensión.

Una vez ingresado a un sistema, el hacker poseedor del software Cliente toma el control remoto del equipo, robando passwords y ejecutando una variedad de acciones y estragos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ 6.0 y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Cuando el troyano es ejecutado se auto-copia a la carpeta %System% con el nombre de Win32.exe y para activarse la siguiente vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32" = "%System%\Win32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Una vez re-iniciado el sistema el troyano libera y copia tres archivos en las siguientes rutas:

%System%\Keylog.text (almacena las teclas digitadas por el usuario)
%System%\Zlib.dll (comprime y descomprime la envía la información capturada)
%Windir%\Win32.dll (actúa como Servidor y envía la información capturada al hacker)

El hacker poseedor de software Cliente no solamente recibirá la información capturada a través del puerto 6969, sino que además podrá tomar el control de los sistemas.

El Win32.dll posee además su propio propio SMTP (Simple Mail Transfer Protocol) a través del cual puede enviar mensajes de correo con el troyano/backdoor anexado, con el Asunto: Omega Help, el mismo que se encuentra cifrado entro de su código viral.

GateCrasher 1.2 es un Troyano Backdoor desarrollado en Borland Delphi, por los hackers KillBoy y PCX:

Los payloads de este troyano/backdoor son los siguientes:

Ingresa al sistema a través del puerto 6969
Suspende, re-inicia, apaga o colapsa el sistema.
Captura información del hardware, sistema, direcciones de correo y roba passwords de archivos, memoria caché. ICQ, etc.
Abre el servidor FTP.
Extrae o descarga archivos al sistema.
Puede deshabilitar Windows.
Modifica los registro de MS Windows.
Define su instalación en el directorio %Windir% o %System%
Define o renombra el nombre del Servidor.
Ejecuta archivos o programas, crea, renombra o borra carpetas.
Ejecuta o termina Procesos en actividad.
Ejecuta tareas de Windows, lo minimiza o maximiza, cambia los títulos, cierra ventanas y envía instrucciones de teclado a ventanas específicas.
Monitorea el sistema en forma remota.
Puede enviar mensajes de texto o de correo.
Activa un Salvador de Pantallas.
Controla el teclado, mouse, la lectora de CD ROM y la pantalla.
Produce sonidos con el parlante, oculta el reloj del sistema.
Activa y desactiva las luces del teclado.
Imprime textos en la impresora.
Borra archivos.
Formatea el disco duro.

PER ANTIVIRUS® versión 8.0 con registro de virus al 29 de Abril del 2003 detecta y elimina eficientemente este troyano/backdoor.