El post que buscas se encuentra eliminado, pero este también te puede interesar

Trojan/Optix Pro 1.3

Troj/Optix Pro 1.3


Optix Pro 1.3 es uno de más potentes y destructivos generadores de troyanos/backdoor, liberado el 22 de Abril del 2003 y reportado el 25 de este mismo mes, que por defecto, ingresa a través del puerto 3410 (de Estación Remota), sin embargo puede ser configurado con cualquiera de los 65535 puertos TCP existentes.

Su archivo infectado puede ser renombrado y emplear además cualquier otro servicio de Internet, tal como ICQ, Correo, FTP, HTTP, IRC, MSM, PHP, etc., y permitirá un completo acceso y control remoto de los sistemas al hacker poseedor del software Cliente. Ha sido creado en Alemania por:

http://www.evileyesoftware.com (actualmente clausurada)

Es un PE (Portable Ejecutable) y ataca a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000, está desarrollado en Borland Delphi y parcialmente comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Optix Pro 1.3 tiene los siguientes componentes:

Builder, de 683 KB y que ha reemplazado al Editor de anteriores versiones:

* Configura el Servidor, puerto a ingresar y asigna un icono para pasar desapercibido.
* Configura las llaves de Registro, el WINI.INI, SYSTEM.INI y la liberación del Troyano Sub Seven.
* Nombra al archivo Servidor.
* Asigna el directorio %Windir% o la carpeta %System% donde será instalado.
* Define una o todas las notificaciones vía ICQ, CGI, MSN, PHP o SMTP.
* Define los antivirus y firewall a ser deshabilitados.
* Especifica si se ejecutará cada vez que se active un archivo ejecutable.
* Define los servicios a ejecutar en Windows NT/2000/XP

Deshabilita los siguientes 75 antivirus:

* Acceleration Software AV
* Anti-Trojan
* AntiVir
* AntiVir (Alemania)
* AntiViral Toolkit Pro
* AntiVirus ExPert 2000 (AVX) (alias: Bitdefender)
* ANTS
* AnVir
* AT AVS
* avast!4 Home Edition
* avast!4 Professional Edition
* AVG
* AVG 6.0 Free Edition
* BitDefender (alias: Anti-virus Expert)
* BullGuard
* Cheyenne AntiVirus
* Command
* Doctor Solomon AVS
* Doctor Web for Windows (memory scanner)
* eScan Free
* eScorcher AntiVirus version 1.7
* eTrust Antivirus
* F-Prot Antivirus TM
* F-Secure
* G-Data AntiVirenKit (Programa alemán)
* German Process Viewer
* InoculateIT Personal Edition
* Integrity Master
* InVircible
* Kaspersky
* LockDown
* Lockdown Pro
* MailDefense Standard 3.0
* McAfee
* neolog
* NOD
* NOD32
* Norman
* Norton AntiVirus
* Panda
* Panda Antivirus
* Panda Antivirus 6.0 Platinum
* Panda Titanium
* PC Door Guard
* pc-cillin (alias: TrendMicro Antivirus)
* PER Antivirus (en español)
* PestPatrol
* Protector Plus Antivirus Software
* Quick Heal
* RAV
* SBABR 3.12
* SOLO
* Sophos
* Spy X
* Swat it
* Tauscan
* TDS
* T-FAK Trojan Remover
* The Cleaner
* TrendMicro
* Trojan Hunter 3.5
* Trojan Remover
* Trojan Scan Engine
* TrojanCheck 6
* TrojanHunter
* Vexira
* Vexira Antivirus
* ViRobot Expert
* VirusBuster
* VirusNet PC
* wild file goback
* WinRoute pro 4.2

Igualmente termina los procesos de los siguientes 32 Firewalls:

* 3B Personal Firewall Pro
* Agnitum Outpost Free
* Agnitum Outpost PRO
* Armor2net Personal Firewall
* AtGuard
* BlackIce
* ConSeal PC Firewall
* Deerfield Personal Firewall
* eTrust Firewall
* GData Firewall
* German Process Viewer
* Kaspersky Anti Hacker 1.0
* Kerio Firewall
* Lockdown Pro/free
* LookNStop
* mcafee firewall
* McAfee Internet Security
* Net Barrier firewall
* Net Protect
* Norton firewall
* Outpost Firewall
* Panda (Built-In)
* PC Cillin 2003 personal firewall
* Pc-Cillin (Built-In)
* Private Firewall 3
* Sphinx
* Steganos Online Shield
* Sygate Personal Firewall
* sygate personal pro
* TGB::BOB! Firewall Personnel v 2.31E
* Tiny Personal Firewall
* WinGate
* Winroute
* WinXP Firewall
* Zonealarm Pro/free

Trojan/Optix Pro 1.3


Cliente, de 380.5 KB que controla al Troyano/Backdoor Servidor.

Antivirus


Servidor, varía de nombre y extensión de acuerdo a las opciones configuradas en el Builder.

Readme.txt de 4 KB, en inglés

Alternativecgilogger.zip de 21 KB, que libera el troyano SubSeven y modifica los archivos .CGI

Al ser ejecutado el troyano se auto-copia indistintamente al directorio %Windir% o a la carpeta %System% con el nombre de archivo asignado como Servidor. Para activarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = "%Windir%\nombre_de_archivo_del_troyano.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
default = "%System%\nombre_de_archivo_del_troyano.exe"


El troyano modifica además otra llave, agregando el nombre asignado como "Servidor.exe", con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .EXE

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%System%\nombre_de_archivo_del_troyano.exe "%1" %*


Modifica la línea Run del archivo WIN.INI para activarse al reiniciar Windows 95/98/Me:

WIN.INI

run=%Windir%\nombre_de_archivo_del_troyano.exe


Modifica la línea Shell del archivo SYSTEM.INI para activarse al reiniciar Windows 95/98/Me:

SYSTEM.INI

shell=[contenido original] %System%\nombre_de_archivo_del_troyano.exe


Nota: Descargar e instalar este software implica un grave riesgo de ser atacado.



Los payloads de este troyano/backdoor son los siguientes:

* Suspende, re-inicia, apaga o colapsa el sistema mostrando una pantalla azul.
* Deshabilita 72 Antivirus y 32 Firewalls.
* Libera y activa el troyano SubSeven.
* Captura información del hardware, sistema, direcciones de correo y roba passwords de archivos, memoria caché y RAS.
* Puede auto-destruir el Servidor si es editado.
* Modifica los registro de MS Windows.
* Modifica el archivo WIN.INI
* Modifica el archivo SYSTEM.INI
* Define su instalación en el directorio %Windir% o %System%
* Define o renombra el nombre del Servidor.
* Notifica al hacker vía ICQ, CGI, MSN, PHP o SMTP.
* Activa un servidor FTP en un puerto específico y extrae o descarga archivos.
* Ejecuta archivos o programas, crea, renombra o borra carpetas.
* Ejecuta o termina Procesos en actividad.
* Ejecuta tareas de Windows, lo minimiza o maximiza, cambia los títulos, cierra ventanas y envía instrucciones de teclado a ventanas específicas.
* Activa un rango de direcciones IP para rastrear puertos abiertos en otros equipos.
* Redirecciona la conexión de puertos a otros de diferentes equipos.
* Monitorea el sistema en forma remota.
* Genera pantallas con falsos mensajes de error.
* Captura imágenes de Cámaras Web.
* Controla el teclado, mouse, la lectora de CD ROM y la pantalla.
* Activa y desactiva un Salvador de Pantallas.
* Produce sonidos con el parlante, oculta el reloj del sistema.
* Activa y desactiva las luces del teclado.
* Imprime textos en la impresora.
* Borra archivos.
* Formatea el disco duro.

4 comentarios - Trojan/Optix Pro 1.3

@spunk30
Me trae buenos recuerdos.
@Code49
es mejor Poison-Ivy ke este??