Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Ryknos.A realiza las siguientes acciones:
- Se conecta al puerto 8080 de las siguientes direcciones IP:
5.10.203.93
24.210.44.45
152.7.24.186
68.101.14.76
67.171.67.190
- A través de dicho puerto, recibe órdenes de control remoto que realizará en el ordenador afectado. Por ejemplo, puede borrar, descargar y ejecutar archivos.
Metodo de Infección
Ryknos.A crea el archivo $SYS$DRV.EXE en el directorio de sistema de Windows. Este archivo es una copia del backdoor.
Nota: El nombre de este archivo ha sido cuidadosamente elegido: en aquellos ordenadores en los que el programa Digital Rights Management (Gestión de Derechos Digitales) de Sony está instalado, el rootkit incluido en él oculta cualquier archivo cuyo nombre comience por los caracteres $SYS$ del Explorador de Windows, etc.
Ryknos.A crea la siguiente entrada en el Registro de Windows:
- HKEY_CURRENT_USER\ WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj
$sys$drv = $sys$drv.exe
La ruta de esta entrada hubiera debido ser HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run, pero debido a varios errores de programación, el backdoor no desencripta adecuadamente la cadena de texto correspondiente.
El propósito de esta entrada era conseguir que Ryknos.A fuera ejecutado siempre que Windows se iniciara.
Método de Propagación
Ryknos.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
>Otros Detalles
Ryknos.A está escrito en el lenguaje C con el compilador LCC-Win32. Este backdoor tiene un tamaño de 10240 Bytes, y está comprimido mediante UPX.
>