Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Troj/Backdoor.Afcore.q. Utiliza "NTFS streams"
 
VSantivirus No. 1183 Año 7, Viernes 3 de octubre de 2003

Troj/Backdoor.Afcore.q. Utiliza "NTFS streams"
http://www.vsantivirus.com/back-afcore-q.htm

Nombre: Troj/Backdoor.Afcore.q
Tipo: Caballo de Troya de acceso remoto
Alias: Afcore.q, TrojanDropper.Win32.Emaner, Backdoor.Afcore.q
Plataforma: Windows NT, 2000 y XP
Tamaño: 58,368 bytes
Fecha: 2/oct/03
Reportado por: F-Secure

Este troyano con capacidad de acceso remoto, utiliza propiedades de almacenamiento de datos proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). La presencia del troyano en un equipo, posibilita a un intruso el acceso remoto total a la máquina infectada.

Utiliza las características "NTFS streams" para su funcionamiento. NTFS es el tipo de partición utilizado en Windows NT, 2000 y XP (opcional), del mismo modo que FAT y FAT32 lo son de Windows 9x y Me.

NTFS implementa seguridad a nivel de archivo. Cada archivo o directorio posee su lista de control de acceso (ACL) conociéndose en todo momento quien tiene derechos sobre él, lo que permite especificar claramente los permisos para el uso de cualquier archivo.

Por el contrario un sistema bajo particiones FAT o FAT32, carece totalmente de este tipo de protección en los archivos, siendo estos accesibles por cualquier usuario que use el sistema.

Bajo Windows NT, 2000 y XP (y Server 2003), usando NTFS, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream". Puede compararse esto a tener varios archivos comprimidos dentro de un solo .ZIP.

Cada stream es accesible como un archivo individual. En Windows 95, 98 o ME, ejecutándose bajo sistemas FAT o FAT32, estos streams no existen.

El troyano tiene previsto su propio mecanismo de remoción, que lo quita del registro, pero deja algunos archivos en el sistema.

Cuando un sistema Windows NT, 2000 o XP con sistema NTFS se infecta, quitar el archivo DLL del troyano es complicado, ya que el mismo se localiza dentro de un stream. Los antivirus pueden interceptarlo cuando el troyano accede a este archivo, pero generalmente no podrán borrarlo porque estará en uso, como lo indicará un mensaje de Windows al usuario.

Para borrarlo, se deberá configurar en "remover el virus" o similar, la opción "remover automáticamente", y reiniciar la computadora para que el antivirus intente borrar al troyano, cuando éste pretenda acceder a su stream.

El troyano está comprimido con la utilidad UPX. Cuando se ejecuta por primera vez, actúa como dropper, liberando los demás componentes del troyano. Estos son almacenados en un stream, por defecto en la carpeta de archivos temporales de Windows, si el sistema es NTFS. De lo contrario, si el sistema no soporta NTFS, se copia como un archivo normal en la misma carpeta.

El nombre del archivo en el stream es creado al azar, y siempre consiste en varios caracteres de la A a la Z en minúscula.

Cuando el archivo es copiado, el dropper finaliza su acción.

El componente backdoor del troyano es un DLL (113,152 bytes), y se tiene que ejecutar como tal. Provee una gran variedad de características que un intruso podrá utilizar para controlar el sistema infectado.

Cuando el backdoor se ejecuta, agrega la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = rundll32 [camino y nombre], [opciones]

El código del troyano posee el siguiente texto:

***********************************************************
If you read this, then this program was probably stolen 
from our laboratory. Author of this software is not 
responsible for any harm that may be caused by incompetent 
or malicious persons who use this software possibly running 
on your machine. Therefore, please remove this software as 
soon as possible. Click the "Start" menu, select "Run", 
enter there: rundll32 [camino al DLL], Uninstall and click 
"OK"
***********************************************************

No posee rutina de propagación, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargada de sitios maliciosos, o a través de redes P2P.


Relacionados:

Flujo de datos, riesgo de virus en Windows XP, 2000 y NT
http://www.vsantivirus.com/dfm-streams.htm

VBS/Potok@mm (Stream, VDrive). Utiliza sistemas NTFS
http://www.vsantivirus.com/stream-a.htm

W32/Press (Win32.HIV). ¿Moda de virus auto-actualizables?
http://www.vsantivirus.com/press.htm

Virus: Win32.HIV. Nuevas técnicas y constante actualización
http://www.vsantivirus.com/hiv.htm


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar] = rundll32 [camino y nombre del DLL], [opciones]

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Información adicional

Activar cortafuegos de Windows XP (Internet Conexión Firewall)

NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS