Trojan.Peacomm

Cuando el caballo de Troya copia el siguiente archivo:
%System%\wincom32.sys

El archivo anterior se registra como un controlador de servicio de un nuevo dispositivo con las siguientes características:
Nombre: wincom32
Ruta binaria: %System%\wincom32.sys

El caballo de Troya crea la siguiente sub clave para instalar el servicio anterior
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

Una vez que se carga el controlador del dispositivo para services.exe procesa e inserta un módulo dentro de él.

Entonces el troyano puede ocultar la presencia del servicio del dispositivo y del archivo asociado.

También puede reiniciar el equipo sin previo aviso una vez que la amenaza se ejecuta por primera ocasión.

El Troyano deja una copia cifrada de la lista inicial de pares dentro de uno de los siguientes archivos de configuración:
%System%\peers.ini
%System%\wincom32.ini

Abre los siguientes puertos y captura información, dichos puertos se utilizan para cifrado de comunicación con otros pares:

• Puerto UDP 4000
• puerto UDP 7871
• puerto UDP 11271

A continuación el Troyano registra el equipo comprometido como un par dentro de la red punto a punto, utiliza el protocolo Overnet para conectarse a los pares especificados en la lista inicial de pares.
Nota: El protocolo Overnet es utilizado por algunos archivos para compartir aplicaciones, sin embargo Peacomm utiliza su red privada propia.

La red punto a punto puede ser ahora utilizada por un usuario con malas intenciones para tomar información en los archivos que descarga y ejecuta. También extrae información adicional de los puntos y actualiza su propio archivo lista de puntos con la información recopilada.

Después el Troyano descarga y ejecuta el siguiente:

• 217.107.217.187/game0.exe
• 81.177.3.169/dir/game1.exe
• 81.177.3.169/dir/game2.exe
• 81.177.3.169/dir/game4.exe

El Troyano puede ser identificado como W32.Mixor.Q@mm. Puede llegar, también, como archivo adjunto en un correo spam con las siguientes características:

Asunto:
Uno de los siguientes:

• A killer at 11, he's free at 21 and kill again!
• U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
• British Muslims Genocide
• Naked teens attack home director.
• 230 dead as storm batters Europe.
• Re: Your text
• Radical Muslim drinking enemies's blood.
• Chinese missile shot down Russian satellite
• Chinese missile shot down Russian aircraft
• Chinese missile shot down USA aircraft
• Chinese missile shot down USA satellite
• Russian missile shot down USA aircraft
• Russian missile shot down USA satellite
• Russian missile shot down Chinese aircraft
• Russian missile shot down Chinese satellite
• Saddam Hussein safe and sound!
• Saddam Hussein alive!
• Venezuelan leader: "Let's the War beginning".

Archivo adjunto:
Uno de los siguientes:

• FullVideo.exe
• Full Story.exe
• Video.exe
• Read More.exe
• FullClip.exe
• GreetingPostcard.exe
• MoreHere.exe
• FlashPostcard.exe
• GreetingCard.exe
• ClickHere.exe
• ReadMore.exe
• FlashPostcard.exe
• FullNews.exe

Recomendaciones

Symantec Security Response invita a todos los usuarios y administradores a adoptar las siguientes "mejores prácticas" básicas de seguridad:

• Desactive y quite los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como servidores de FTP, telnet y servidores de web. A través de estos servicios ocurren buena parte de los ataques. Si se quitan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
• Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
• Mantenga siempre el parche actualizado, sobre todo en equipos que alojan servicios públicos, a los que se puede acceder a través de algún firewall, como servicios HTTP, FTP, de correo y DNS (por ejemplo: todos los equipos basados en Windows deben tener instalado el Service Pack actual).. Además, aplique cualquiera de las actualizaciones de seguridad que se mencionan en este artículo, en boletines de seguridad confiables o en sitios Web del proveedor.
• Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños o a reducir el daño cuando se ataca a un equipo.
• Configure el servidor de correo electrónico para que bloquee o elimine los mensajes que contengan adjuntos que se utilizan comúnmente para distribuir virus, como archivos .vbs, .bat, .exe, .pif y .scr.
• Separe rápidamente los equipos infectados para evitar que pongan en peligro otros equipos de la organización. Realice un análisis forense y restaure los equipos con medios que sean de su confianza.
• Instruya a sus empleados para que no abran adjuntos a menos que los estén esperando. No ejecute el software descargado desde Internet, a menos que lo haya analizado previamente en busca de virus. La sola visita a un sitio Web infectado puede infectar su sistema si ciertas vulnerabilidades del navegador no se corrigieron con los parches.

Resumen