XTOB

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\{random file name}.exe
• %Application Data%\Security Data\{random file name}.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las carpetas siguientes:

• %Application Data%\Security Data

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• system32

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name}.exe = "%System%\{random file name}.exe”

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name}.exe = "%Application Data%\Security Data\{random file name}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{random file name}.exe = "%System%\{random file name}.exe"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Backdoor commands
• Perform SYN flood
• Perform DDOS
• Sleep
• Delete file
• Download and execute file
• Open a connection using Socks5 Proxy

Robo de información

Recopila los siguientes datos:

• User Name
• Host Name
• OS Version
• Product ID