CIUDAD DE MÉXICO, México, septiembre, 2002.- McAfee Security, línea de productos de Network Associates, empresa proveedora de seguridad y soluciones para el comercio electrónico, alerta al mercado sobre la aparición de dos nuevas amenazas denominadas: Jekord y Backdoor-AKR.
De origen desconocido, el Jekord es un troyano escrito en Borland Delphi que, cuando es ejecutado en la maquina victima, ejerce las siguientes funciones:
- Se copia hacia el directorio de C:\NT o C:\2000, o hacia el directorio
de instalación de Windows, en el caso de sistemas Windows 9x.
- El archivo IMAGES.DLL también es copiado hacia el directorio C:\NT o C:\2000, o en el directorio de instalación de Windows, en caso de sistemas Windows 9x.
- La siguiente llave de registro es agregada para que el troyano sea
cargado en el momento de la inicialización del sistema:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "LoadWinMgr" = '%path%\loadwmgr.exe'. Donde %path% es sustituido por uno de los directorios mencionados anteriormente.
El troyano lee a través del "navegador", el histórico de los archivos y "cookies" almacenados en la máquina victima. Algunos "strings" almacenados en el código del troyano, sugieren el envío de información al hacker. Sin embargo, este síntoma no fue observado durante los análisis efectuados.
El Backdoor-AKR, de origen chino, es un troyano de acceso remoto, que cuando es ejecutado, se copia hacia el directorio de \Windows\System con el nombre de "internat.dic" hacia el directorio de \Windows como "notepad.jmp". Este crea y modifica varias llaves de registro para ser cargado en el momento de la inicialización del sistema, como por ejemplo:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\windows=%Windows system path%internat.dic
- HKEY_CLASSES_ROOT\txtfile\shell\open\command\(Default)=
%Windows path%notepad.jmp
- HKEY_CLASSES_ROOT\.dic\(Default)=exefile
- HKEY_CLASSES_ROOT\.jmp\(Default)=exefile
Finalmente, este abre el puerto 3721, que le permite remotamente al hacker, conectarse a la maquina infectada y ejecutar varias tareas, como por ejemplo, copiar y borrar archivos o carpetas, ejecutar comando, bajar archivos de Internet, entre otros.
McAfee Security considera al Jekord y al Backdoor-AKR como Riesgo Bajo debido al numero de reportes recibidos por McAfee a nivel mundial. McAfee Security recomienda que los productos de antivirus sean actualizados semanalmente, además de estar configurados para la protección de archivos comprimidos (Compressed Files).
