Malware que crea "Puerta Trasera" en Sistemas Operativos Windows

El UNAM-CERT recibió un reporte sobre un correo electrónico que supuestamente contenía un archivo malicioso. Se trataba de un archivo ejecutable que se encontraba comprimido en un formato ZIP y contenía un malware de tipo Backdoor (Puerta Trasera). Cuando este tipo de malware infecta un equipo, lleva a cabo una configuración específica para estar siempre activo.

Un Backdoor implementa un mecanismo mediante el cual se pasan por alto los controles de seguridad para dar a un atacante acceso no autorizado. Cuando se ha instalado, el malware abre un puerto de comunicación del equipo en modo "escucha" por el cual un atacante puede conectarse y enviar inducciones al equipo infectado.

En este caso, el malware abre el puerto local 8000 con un estado LISTENING.

Además crea un archivo con el nombre svchost.exe en la ruta C:\Documents and Settings\All Users, dicho archivo es el mismo que se propaga por correo electrónico, por lo que únicamente se copia a sí mismo y se renombra en otra dirección.

El archivo también crea una llave de registro con el nombre SunJavaUpdateSched que contenía la ruta completa del archivo que creó, con estas dos acciones garantiza que en cada inicio del sistema se ejecute el archivo malicioso, provocando que siempre esté abierto el puerto de comunicación 8000.

Para analizar el archivo se realizó una prueba de concepto (PoC), en la cual desde otro equipo, en la misma red privada, se realizó un telnet a la dirección IP del equipo infectado por el puerto 8000 y con ello se pudo conseguir una consola para manejarlo remotamente.

En el equipo infectado se muestra que se ha establecido la conexión con el equipo remoto y que el proceso malicioso es quien abre una consola de Windows, pero lo hace en el equipo atacante.

A continuación se ejemplifica la forma en la que una Puerta Trasera puede recibir instrucciones y dependiendo de ellas, llevar a cabo cierto tipo de acciones:

            - Abrir la calculadora de Windows

            - Apagar el equipo infectado

Posteriormente consultamos la muestra en el servicio VirusTotal, es alarmante descubrir que no todas las soluciones de antivirus detectan esta amenaza. A continuación se muestra el reporte que desplegó el análisis:

Se recomienda a todos los usuarios implementar buenas prácticas de seguridad durante su actividad en línea, como desconfiar de los archivos adjuntos aunque parezcan provenir de fuentes confiables y preguntar al remitente qué es lo que contiene, ya que puede estar propagando malware incluso sin darse cuenta.

Es conveniente tener actualizado el antivirus y estar al pendiente de comportamientos extraños en el equipo para posteriormente poder erradicar el problema. Por ejemplo, borrar las llaves de registro que inician procesos que no son requeridos normalmente y con ello identificar dónde está alojado el posible malware y eliminarlo manualmente.