Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.Assasin.C. Elimina antivirus
 
VSantivirus No. 872 - Año 7 - Martes 26 de noviembre de 2002

Troj/Backdoor.Assasin.C. Elimina antivirus
http://www.vsantivirus.com/back-assasin-c.htm

Nombre: Troj/Backdoor.Assasin.C
Tipo: Caballo de Troya
Alias: Backdoor.Assasin.C, Backdoor.Assasin.11, Backdoor-AGS
Fecha: 20/nov/02
Tamaño: 92,160 bytes (UPX)
Plataforma: Windows 32-bits

Es una variante de Troj/Backdoor.Assasin (ver Referencias al final de la descripción), que proporciona a un atacante el acceso clandestino a la computadora infectada.

Utiliza por defecto el puerto 6,595 para sus conexiones a Internet. Esto puede ser modificado.

El archivo del troyano está comprimido con la herramienta UPX.

Cuando es ejecutado por primera vez, el troyano muestra una ventana con el siguiente mensaje:

Invalid Jpeg Image

Esto disimula la verdadera naturaleza del archivo, que en realidad es un troyano.

Este se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Una vez activo, el troyano habilita un servidor para permitir el acceso remoto por una puerta trasera al sistema (backdoor). Para conectarse habilita varios sockets (un SOCKET es un canal de comunicación que se abre entre un puerto de la computadora local y aquella a la que se conecta a través de la red).

Después de mostrar el mensaje anterior, se copia a si mismo en la carpeta de Windows:

C:\Windows\Ms spool32.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

También crea el siguiente archivo:

C:\Windows\Ms spool32.dat

Este archivo contiene los nombres de los ejecutables que el troyano intentará quitar de memoria, finalizando sus respectivos procesos.

Esto deshabilita los siguientes ejecutables cada vez que el troyano está activo. La siguiente es una lista de ejemplo, puesto que el archivo puede modificarse:

_Avp32.exe
_Avpcc.exe
_Avpm.exe
Agentsvr.exe
Ahnsd.exe
Alogserv.exe
Anti-Trojan.exe
Ants.exe
Aplica32.exe
Apvxdwin.exe
Atcon.exe
Atupdater.exe
Atwatch.exe
Autoupdate.exe
Avconsol.exe
Avgserv9.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpm.exe
Avsynmgr.exe
Blackd.exe
Blackice.exe
Cdp.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Cleaner.exe
Cleaner3.exe
Cmgrdian.exe
Css 1631.exe
Defscangui.exe
Defwatch.exe
Drwatson.exe
Fast.exe
Frw.exe
Fsav.exe
Gbmenu.exe
Gbpoll.exe
Guard.exe
Guarddog.exe
Iamapp.exe
Iamserv.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Jammer.exe
Lockdown.exe
Lockdown2000.exe
Luall.exe
Lucomserver.exe
Mcagent.exe
Mcupdate.exe
Minilog.exe
Monsys32.exe
Monsysnt.exe
Moolive.exe
Msconfig.exe
Mssmmc32.exe
Navapw32.exe
Navw32.exe
Ndd32.exe
Netstat.exe
Nprotect.exe
Nsched32.exe
Ntvdm.exe
Nvarch16.exe
Nwtool16.exe
Outpost.exe
Padmin.exe
Pavproxy.exe
Pcfwallicon.exe
Persfw.exe
Poproxy.exe
Pview95.exe
Qserver.exe
Regedit.exe
Rtvscn95.exe
Rulaunch.exe
Safeweb.exe
Shedapp.exe
Sphinx.exe
Spyxx.exe
Ss3edit.exe
Sysedit.exe
Taskmgr.exe
Taumon.exe
Tc.exe
Tca.exe
Tcm.exe
Tds2-98.exe
Tds2-Nt.exe
Tds-3.exe
Trjscan.exe
Update.exe
Vbcmserv.exe
Vbcons.exe
Vpc42.exe
Vptray.exe
Vsecomr.exe
Vshwin32.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Watchdog.exe
Webscanx.exe
Wgfe95.exe
Wradmin.exe
Wrctrl.exe
Wrctrl.exe
Zapro.exe
Zatutor.exe
Zonealarm.exe

Después agrega la siguiente entrada al registro, para poder ejecutar en forma automática luego de cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ms Spool32 = MS SPOOL32.EXE

Además crea la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\AUFOBK
eu%t{efn74+fzb

El troyano notifica al atacante de su presencia en la máquina infectada, a través del ICQ Pager o enviando un e-mail.

Una vez instalado y enviado el aviso, el troyano queda a la espera de las órdenes remotas para realizar cualquiera de las siguientes acciones posibles:

  1. Envío de información del sistema infectado y de la red
  2. Control sobre otras opciones de instalación del troyano
  3. Carga y ejecución de cualquier código en forma remota


Referencias:

Troj/Backdoor.Assasin. Acceso remoto y borrado de AV
http://www.vsantivirus.com/back-assasin.htm

ASSA*SIN*: ¿Nace una nueva generación de troyanos?
http://www.vsantivirus.com/mr-assasin.htm

ASSA*SIN* v1.1: Nueva versión de un troyano innovador
http://www.vsantivirus.com/mr-assasin11.htm


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

Ms Spool32

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\Ms spool32.exe
C:\Windows\Ms spool32.dat

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Ms Spool32

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\AUFOBK

6. Pinche en la carpeta "AUFOBK" y bórrela.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS