Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.AntiLam. Caballo de Troya de acceso remoto
 
VSantivirus No. 716 - Año 6 - Domingo 23 de junio de 2002

 Troj/Backdoor.AntiLam. Caballo de Troya de acceso remoto
http://www.vsantivirus.com/back-antilam.htm

Nombre: Troj/Backdoor.AntiLam
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.AntiLam, Backdoor.Trojan
Fecha: 7/jun/02
Tamaño: variable

Este troyano permite el acceso a las computadoras infectadas por medio de una 'puerta trasera' (backdoor), con lo que un atacante puede tomar el control total de la misma.

Es capaz de robar información confidencial mediante la captura de todo lo tecleado por la víctima. Esta información es guardada y enviada al atacante.

Si el troyano se ejecuta, intenta como primer medida, copiarse a si mismo en la carpeta usada por Windows (C:\Windows, C:\WinNT, etc.).

El nombre utilizado para el propio ejecutable del caballo de Troya es siempre diferente, debido a que el atacante puede crearlo y enviarlo con cualquier nombre. Sin embargo, el nombre usado por defecto es SCANDISK.EXE (no confundir con el legítimo Scandisk.exe de Windows).

También modifica la siguiente entrada en el registro para ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MS Scandisk = C:\Windows\Scandisk.exe

Recuerde que puede ser cualquier otro nombre de archivo en lugar de Scandisk.exe.

También agrega la siguiente entrada:

HKLM\Software\Microsoft\DirectX
Start = ok

Cuando se ejecuta, el troyano abre una conexión HTTP a un servidor Web seleccionado por el atacante, y envía información recolectada de la víctima a un script en dicho sitio.

Esta información incluye entre otros, estos datos:

  • La dirección IP de la víctima
  • El nombre del usuario logeado en Windows y en Internet
  • La versión del sistema operativo
  • El nombre de la computadora
  • La lista de contraseñas guardadas en el caché

Cuando el troyano está activo, las siguientes acciones (entre otras) son posibles para un atacante en forma remota:

  • Abrir repetidamente un puerto TCP
  • Mostrar un mensaje de error falso para encubrir su naturaleza
  • Control total sobre el sistema de archivos de la computadora
  • Carga y descarga de archivos
  • Ejecución remota de cualquier programa a elección del atacante
  • Mostrar mensajes
  • Mostrar al atacante lo que exhibe el monitor de la víctima
  • Capturar y enviar todo lo tecleado por la víctima
  • Manipular el teclado y el ratón
  • Abrir y cerrar la bandeja de la lectora de CD-ROM
  • Apagar o prender el monitor (si permite ahorro de energía)

Note que se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.

Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Nota: Además de lo explicado en este artículo, recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Eliminación del troyano

Para quitar el troyano de su sistema, solo borre el ejecutable (puede tener cualquier nombre). Para identificarlo, utilice un antivirus al día para examinar todos los archivos de su disco duro.

Luego modifique los cambios en el registro de la siguiente manera:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

MS Scandisk

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\DirectX

5. Pinche en la carpeta "DirectX" y en el panel de la derecha busque y borre la siguiente entrada:

Start

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS