| |
VSantivirus No. 727 - Año 6 - Jueves 4 de julio de 2002
Troj/Backdoor.Anakha. Permite ataques a través del IRC
http://www.vsantivirus.com/back-anakha.htm
Nombre: Troj/Backdoor.Anakha
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Anakha, Backdoor.Trojan, Trojan.Win32.Anakha.b, BackDoor-UY, Troj/Anaka-B
Variante: Backdoor.Anakha.dr
Fecha: 26/jun/02
Tamaño: 71,680 bytes (ASPack)
Plataformas: Windows 32-bits
Este troyano permite a un atacante utilizar el IRC para obtener el control remoto de la máquina infectada, a través de puertos TCP/UDP.
El troyano está escrito en Visual Basic y comprimido con la utilidad ASPack, y debe ser ejecutado por el usuario para ejecutarse la primera vez. Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Cuando el troyano se ejecuta, se copia a si mismo en el siguiente archivo:
C:\Windows\System\ShellEx.exe
El nombre 'Windows\System' puede cambiar de acuerdo a la versión de Windows instalada
(C:\Windows\System, C:\Winnt\System32, etc.).
Luego crea la siguiente entrada en el registro que le permite volver a ejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ShellEx = C:\Windows\System\ShellEx.exe
También genera el siguiente archivo de texto que no contiene ningún código viral:
C:\Windows\System\Rundll32.pin
Luego, abre al azar algunos puertos TCP/UDP, permitiéndole a un atacante conectarse clandestinamente a la computadora infectada.
Estas son algunas de las acciones disponibles en forma clandestina (existen muchas más):
- Manejar la instalación del propio backdoor
- Realizar ataques de denegación de servicio
- Robar información de la computadora infectada
- Escuchar y recibir comandos IRC de parte de un atacante
- Controlar el cliente IRC de la máquina infectada
- Descarga y envío de archivos de y hacia el sistema afectado
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
ShellEx
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):
C:\Windows\System\ShellEx.exe
C:\Windows\System\Rundll32.pin
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
