1. Editserv.exe – El editor
2. Backdoor.exe – El servidor (víctima)
3. Igloo.exe – El cliente (atacante)

1. EditServ.exe

Este archivo permite configurar el servidor, que será el archivo que infectará la computadora de la víctima y permitirá el acceso a su máquina por una puerta trasera. El atacante puede especificar aquí el puerto a utilizar para la conexión, por defecto 31337/TCP, y un UIN de ICQ para notificar al atacante de que ya está activo en una computadora, aguardando instrucciones. También puede cambiar el icono por defecto del ejecutable.

2. Backdoor.exe

Este componente (que puede tener cualquier nombre que se le quiera dar), es el que debe activarse en la computadora de la víctima. Luego de ejecutarse, activa el puerto designado antes para quedar a la espera de las instrucciones que el atacante le enviará en forma remota. Antes, envía al usuario del ICQ designado, la información de que está activo, además de la dirección IP de la víctima.

Utiliza una librería pública para enviar la notificación vía ICQ (el archivo "ICQMAPI.dll", incluido en el kit del troyano), el cuál no es ningún archivo malicioso.

La notificación tiene este formato:

from=iGLOO
fromemail=iGLOO@iGLOOMAiL.COM
subject=iGLOO
body=iGLOO
Remote IP : [la IP de la víctima]
Remote Port : 31337 [o el que haya sido configurado]

Además, este componente libera los siguientes archivos en la computadora infectada:

C:\Windows\System\Explorer.vbs
C:\Windows\System\EXPLORER.EXE
C:\Windows\System\RealWayToHack.exe

El archivo .VBS contiene el código para propagarse vía IRC enviando a los canales de chat en que participe la víctima, una copia de "RealWayToHack.exe".

Este script de Visual Basic (7,425 bytes) busca los archivos MIRC.INI y MIRC.DAT en la computadora. Si los encuentra, modifica mirc.ini y server.ini, para que se envíe el siguiente mensaje en cada conexión a un canal de chat:

Type ***| !Hacks for my list of Hacks |***
If another user on the channel types !Hacks,
they receive a message containing the following
instruction:

Type !RealWayToHack for a Help with hacking

Si el usuario teclea !RealWayToHack, el archivo "RealWayToHack.EXE" es enviado a su computadora.

Explorer.VBS es detectado como "VBS_GOOL.A", "VBS/Dismissed", "VBS/BearBritney.A", etc.

"Explorer.exe" y "RealWayToHack.exe" son a su vez, copias del troyano "Backdoor.exe" (que como vimos, puede tener cualquier nombre).

El troyano crea o modifica las siguientes entradas en el registro de Windows:

HKCU\Software\Microsoft\InternetExplorer\Main
RegisteredOrganization = http://www.crash.com

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
EXPLORER = C:\Windows\System\EXPLORER.EXE

Esta última permite que el troyano se ejecute siempre que se reinicie Windows.

También se crea una carpeta llamada "SYS32" en C:\Windows:

C:\Windows\Sys32

Allí genera numerosas copias de si mismo (todas de 640 Kb) pero con diferentes nombres, seleccionados al azar de la siguiente lista (de un total de 227):

AdvZip Recovery.jpg.exe
AdvZip Recovery.txt.exe
AIM Pass stealer.jpg.exe
AIM Pass stealer.txt.exe
aimcracker.jpg.exe
aimcracker.txt.exe
aimhacker.jpg.exe
aimhacker.txt.exe
AMI BIOS Cracker.jpg.exe
AMI BIOS Cracker.txt.exe
anastasia_anal.jpg.exe
anastasia_anal.txt.exe
anastasia_naked.jpg.exe
anastasia_naked.txt.exe
anastasia_nude.jpg.exe
anastasia_nude.txt.exe
Autocad 2002 Crack.jpg.exe
Autocad 2002 Crack.txt.exe
Britney.jpg.exe
Britney.txt.exe
buttman.jpg.exe
buttman.txt.exe
catherine_zeta_jones_anal.jpg.exe
catherine_zeta_jones_anal.txt.exe
catherine_zeta_jones_naked.jpg.exe
catherine_zeta_jones_naked.txt.exe
catherine_zeta_jones_nude.jpg.exe
catherine_zeta_jones_nude.txt.exe
Counter Strike_CD_Keygen.jpg.exe
Counter Strike_CD_Keygen.txt.exe
Delphi 5 Keygen.jpg.exe
Delphi 5 Keygen.txt.exe
Delphi 6 Keygen.jpg.exe
Delphi 6 Keygen.txt.exe
Digimon.jpg.exe
Digimon.txt.exe
divx_fix.jpg.exe
divx_fix.txt.exe
divx_repair.jpg.exe
divx_repair.txt.exe
edonkey_serverlist.jpg.exe
edonkey_serverlist.txt.exe
ftp_cracker.jpg.exe
ftp_cracker.txt.exe
ftp_hacker.jpg.exe
ftp_hacker.txt.exe
Half_life Cd keygen.jpg.exe
Half_life Cd keygen.txt.exe
host_faker.jpg.exe
host_faker.txt.exe
host_spoofer.jpg.exe
host_spoofer.txt.exe
Hotmail Hacker.jpg.exe
Hotmail Hacker.txt.exe
hotmail_account_sniffer.jpg.exe
hotmail_account_sniffer.txt.exe
hotmailcracker.jpg.exe
hotmailcracker.txt.exe
hotmailhacker.jpg.exe
hotmailhacker.txt.exe
ICQ_Hackingtools.jpg.exe
ICQ_Hackingtools.txt.exe
icqcracker.jpg.exe
icqcracker.txt.exe
icqhacker.jpg.exe
icqhacker.txt.exe
ident_faker.jpg.exe
ident_faker.txt.exe
ident_spoofer.jpg.exe
ident_spoofer.txt.exe
IIS_shellbind_exploit.jpg.exe
IIS_shellbind_exploit.txt.exe
invisible_IP.jpg.exe
invisible_IP.txt.exe
ip_faker.jpg.exe
ip_faker.txt.exe
ip_spoofer.jpg.exe
ip_spoofer.txt.exe
kazaa.jpg.exe
kazaa.txt.exe
kmd151_en.jpg.exe
kmd151_en.txt.exe
kmd152_en.jpg.exe
kmd152_en.txt.exe
kmd153_en.jpg.exe
kmd153_en.txt.exe
kmd154_en.jpg.exe
kmd154_en.txt.exe
kmd155_en.jpg.exe
kmd155_en.txt.exe
kmd156_en.jpg.exe
kmd156_en.txt.exe
kmd157_en.jpg.exe
kmd157_en.txt.exe
kmd158_en.jpg.exe
kmd158_en.txt.exe
kmd159_en.jpg.exe
kmd159_en.txt.exe
kmd160_en.jpg.exe
kmd160_en.txt.exe
kmd161_en.jpg.exe
kmd161_en.txt.exe
kmd162_en.jpg.exe
kmd162_en.txt.exe
kmd163_en.jpg.exe
kmd163_en.txt.exe
kmd164_en.jpg.exe
kmd164_en.txt.exe
kmd165_en.jpg.exe
kmd165_en.txt.exe
kmd166_en.jpg.exe
kmd166_en.txt.exe
kmd167_en.jpg.exe
kmd167_en.txt.exe
kmd168_en.jpg.exe
kmd168_en.txt.exe
kmd200_en.jpg.exe
kmd200_en.txt.exe
kmd201_en.jpg.exe
kmd201_en.txt.exe
kmd202_en.jpg.exe
kmd202_en.txt.exe
kmd203_en.txt.exe
kmd204_en.txt.exe
kmd205_en.txt.exe
kmd206_en.txt.exe
kmd207_en.txt.exe
kmd208_en.txt.exe
linux_root.jpg.exe
linux_root.txt.exe
Linux_rootaccess.jpg.exe
Linux_rootaccess.txt.exe
msn_IP_finder.jpg.exe
msn_IP_finder.txt.exe
msncracker.jpg.exe
msncracker.txt.exe
msnhacker.jpg.exe
msnhacker.txt.exe
Office key Gen.jpg.exe
Office key Gen.txt.exe
Office XP Crack.jpg.exe
Office XP Crack.txt.exe
OfficeXP_Keygen.jpg.exe
OfficeXP_Keygen.txt.exe
pamela_anderson_anal.jpg.exe
pamela_anderson_anal.txt.exe
pamela_anderson_naked.jpg.exe
pamela_anderson_naked.txt.exe
pamela_anderson_nude.jpg.exe
pamela_anderson_nude.txt.exe
Pokemon.jpg.exe
Pokemon.txt.exe
porn_account_cracker.jpg.exe
porn_account_cracker.txt.exe
porn_account_hacker.jpg.exe
porn_account_hacker.txt.exe
PS1 BootCD.jpg.exe
PS1 BootCD.txt.exe
PS2 BootCD.jpg.exe
PS2 BootCD.txt.exe
PS2_emulator_bleem.jpg.exe
PS2_emulator_bleem.txt.exe
sandra_bullock_naked.jpg.exe
sandra_bullock_naked.txt.exe
sandra_bullock_nude.jpg.exe
sandra_bullock_nude.txt.exe
sarah_michelle_gellar_naked.jpg.exe
sarah_michelle_gellar_naked.txt.exe
sarah_michelle_gellar_nude.jpg.exe
sarah_michelle_gellar_nude.txt.exe
shakira_anal.jpg.exe
shakira_anal.txt.exe
shakira_assfucked.jpg.exe
shakira_assfucked.txt.exe
shakira_naked.jpg.exe
shakira_naked.txt.exe
shakira_nude.jpg.exe
shakira_nude.txt.exe
shakira_paparazzi_collection.jpg.exe
shakira_paparazzi_collection.txt.exe
Sub7_masterpwd.jpg.exe
Sub7_masterpwd.txt.exe
tripod_cracker.jpg.exe
tripod_cracker.txt.exe
tripod_hacker.jpg.exe
tripod_hacker.txt.exe
win2k_pass_decryptor.jpg.exe
win2k_pass_decryptor.txt.exe
Win2k_reboot_exploit.jpg.exe
Win2k_reboot_exploit.txt.exe
win2k_serial.jpg.exe
win2k_serial.txt.exe
Windows_Keygen_allver.jpg.exe
Windows_Keygen_allver.txt.exe
winxp_crack.jpg.exe
winxp_crack.txt.exe
winxp_cracker.jpg.exe
winxp_cracker.txt.exe
winxp_hacker.jpg.exe
winxp_hacker.txt.exe
WinXP_Keygen.jpg.exe
WinXP_Keygen.txt.exe
winxphack.jpg.exe
winxphack.txt.exe
Winzip_Pass_Cracker.jpg.exe
Winzip_Pass_Cracker.txt.exe
Word_Pass_Cracker.jpg.exe
Word_Pass_Cracker.txt.exe
xbox_emulator_beta.jpg.exe
xbox_emulator_beta.txt.exe
XP DVD Plugin.jpg.exe
XP DVD Plugin.txt.exe
XP ScreenSaver.jpg.exe
X PScreenSaver.txt.exe
XP_Box_emulator.jpg.exe
XP_Box_emulator.txt.exe
XP_keygen.jpg.exe
XP_keygen.txt.exe
yahoo_cracker.jpg.exe
yahoo_cracker.txt.exe
yahoo_hacker.jpg.exe
yahoo_hacker.txt.exe
Yahoo_mail_cracker.jpg.exe
Yahoo_mail_cracker.txt.exe

Luego, el troyano crea estas nuevas entradas en el registro:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing = "0"
dir0 = "012345:C:\Windows\sys32"
dir1 = "012345:C:\Windows\sys32"
dir2 = "012345:C:\Windows\sys32"
dir3 = "012345:C:\Windows\sys32"
dir4 = "012345:C:\Windows\sys32"
dir5 = "012345:C:\Windows\sys32"

Estos cambios, hacen que la carpeta C:\Windows\SYS32 quede accesible para otras futuras víctimas a través del KaZaa.

3. Igloo.exe

Se trata del cliente, el programa que el atacante utiliza para conectarse y controlar al troyano en la computadora infectada. Se conecta al servidor luego de la notificación vía ICQ, y una vez conectado, el atacante tiene el control total sobre su víctima. Solo puede existir una conexión por vez (solo un atacante podrá acceder a la computadora infectada).

Las opciones posibles para el atacante son las siguientes:

Categoría "Fun"

• Esconder o mostrar la barra de herramientas
• Habilitar o deshabilitar el botón de "Inicio"
• Habilitar o deshabilitar el escritorio
• También se pueden mandar mensajes en formato texto a la víctima.

Categoría "Evil"

• Borrar la memoria CMOS
• Colgar al PC
• Borrar accesos telefónicos
• Sabotear el sistema
• Consumir la memoria disponible
• Cubrir sus propios rastros
• Ejecutar mensajes de error constantemente
• Mover la pantalla
• Reiniciar en modo seguro
• Vaciar la papelera de reciclaje
• Crear hasta 66,666 directorios en la unidad C
• Habilitar un chat
• Salida forzada del sistema
• Terminar la sesión del usuario
• Reiniciar la computadora
• Apagar la computadora
• Controlar la apertura y cierre de la bandeja del CD
• Apagar o encender el monitor
• Mostrar una pantalla negra

Categoría "Transfer"

• Buscar, borrar, ejecutar, descargar archivos
• Subir archivos
• Visualizar la pantalla de la víctima
• Capturar lo tecleado por la víctima (keylogger)
• Manejador de archivos

Categoría "System Details"

• Obtiene nombre de usuario, nombre de la computadora, del usuario registrado, número de versión del sistema operativo, clave de registro para la activación del producto, etc.

Categoría "Server uninstall"

• Consejos para desinstalar el troyano.

Reparación manual

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\Explorer.vbs
C:\Windows\System\EXPLORER.EXE
C:\Windows\System\RealWayToHack.exe
C:\Windows\Sys32 (toda la carpeta "Sys32" y su contenido)

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

EXPLORER

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

EXPLORER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main

7. Pinche en la carpeta "Main" y borre lo siguiente "http://www.crash.com":

RegisteredOrganization = "http://www.crash.com"

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

9. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre las siguientes entradas:

DisableSharing = "0"
dir0 = "012345:C:\Windows\sys32"
dir1 = "012345:C:\Windows\sys32"
dir2 = "012345:C:\Windows\sys32"
dir3 = "012345:C:\Windows\sys32"
dir4 = "012345:C:\Windows\sys32"
dir5 = "012345:C:\Windows\sys32"

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

11/feb/03 - Alias: Kazoa.C, W32/Kazoa.C
21/feb/03 - Variante: Backdoor.Igloo.18, iGLOO Hack 1.8,
21/feb/03 - Variante: Win32.Igloo.18, Win32/Igloo.18



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com