Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/AceBot. Un troyano capaz de propagarse como gusano
 
VSantivirus No. 692 - Año 6 - Jueves 30 de mayo de 2002

 W32/AceBot. Un troyano capaz de propagarse como gusano
http://www.vsantivirus.com/acebot.htm

Nombre: W32/AceBot
Tipo: Caballo de Troya de acceso remoto y gusano
Alias: BackDoor-ABN, W32/AceBot.worm, Backdoor.IRC.Acebo, BKDR_FLY, Win32.Acebot, Worm.Newbiero
Fecha: 6/mar/02
Tamaño: 160 Kb aprox. (variable)
Fuente: NAI

Es un troyano, que tiene características de gusano para propagarse a través de recursos compartidos en redes locales, e Internet, si los recursos son visibles.

Cuando el servidor es ejecutado en una máquina infectada, el troyano se copia a si mismo en la carpeta System de Windows, bajo un nombre seleccionado al azar, borrando el archivo original con el que se hubiera recibido. Ejemplo:

C:\Windows\System\tjstbu.exe

El troyano tiene la habilidad de deshabilitar el cortafuegos que esté activo en la máquina atacada, aunque esto no se produce siempre.

La siguiente lista está incluida en su código:

  • Sygate Personal Firewall
  • Tiny Personal Firewall
  • ZoneAlarm Pro
  • ZoneAlarm

También modifica la siguiente rama del registro, para ejecutarse en cada nuevo reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft Diagnostic" = C:\Windows\System\tjstbu.exe

Recuerde que el nombre del archivo es seleccionado al azar, por lo que el ejemplo solo debe ser tomado como referencia.

Estas son algunas de las funciones que este troyano es capaz de hacer en la máquina atacada, controlado en forma remota por un atacante vía Web:

  • Quitarse a si mismo de memoria
  • Mostrar mensajes
  • Entrar en modo espera
  • Actualizar su propio servidor
  • Ejecutar archivos
  • Descargar archivos desde Internet
  • Enviar paquetes de Internet
  • Salir de Windows
  • Apagar la computadora

Cómo el troyano posee la habilidad de actualizarse a si mismo, las acciones posibles pueden aumentar o ser modificadas, lo que convierte a este troyano en una seria amenaza.

El servidor también posee en su código las instrucciones para propagarse a través de recursos compartidos en redes locales, copiándose a si mismo en las carpetas de inicio de cada computadora infectada:

\WINDOWS\Start Menu\Programs\Startup\MSSG.EXE

Cómo el código hace una referencia exacta a esta ubicación, el gusano no funciona en versiones diferentes a la inglesa, ni tampoco en aquellos sistemas donde el directorio de Windows tenga un nombre diferente. Por ejemplo, dicha carpeta en una versión de Windows en español sería:

\WINDOWS\Menú Inicio\Programas\Inicio

La posibilidad de propagarse en redes, es activada con una función remota del troyano. Note que si sus recursos compartidos son visibles desde Internet, podría propagarse el gusano a cualquier computadora conectada.

La primera infección podría provocarse mediante engaños, o bajando archivos malignos de sitios de Internet sin tomar precauciones. Por supuesto, usted jamás debería ejecutar nada por primera vez, sin revisarlo antes con sus antivirus al día.


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el troyano.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

"Microsoft Diagnostic"

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su PC en modo normal y vuelva a realizar un escaneo con sus antivirus.


Notas

a. Cuando decimos usar más de un antivirus debemos tener en cuenta dos cosas. Una, que JAMAS debemos tener más de uno monitoreando en segundo plano. Solo usamos más de uno para una revisación (escaneo) normal por demanda (uno a la vez). Y segundo, que debemos desactivar momentáneamente todo proceso de monitoreo en segundo plano cada vez que procedemos a escanear un equipo. En todos los casos, si su PC está conectado a una red, desconéctelo físicamente de la misma hasta haber realizado el proceso de escaneo en todas las máquinas.

b. Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS