|
VSantivirus No. 781 - Año 6 - Miércoles 28 de agosto de 2002
Troj/Backdoor.Cabrotor. Troyano en español
http://www.vsantivirus.com/back-cabrotor.htm
Nombre: Troj/Backdoor.Cabrotor
Tipo: Caballo de Troya de acceso remoto
Alias: Cabrotor, Trojano/backdoor_cabrotor, Cabronator 3.Kill
Fecha: 27/ago/02
Plataforma: Windows 32-bits
Tamaños: 179,712 bytes (editor), 448,000 bytes (cliente), 258,167 bytes (servidor)
Fuente: PerSystems
Este troyano, reportado el 27 de agosto de 2002 por Per Antivirus, y disponible desde el 10 de agosto en Internet, tiene características destructivas que lo hacen especialmente peligroso, principalmente porque está pensado para propagarse a través de los canales de chat.
Escrito en España, este troyano en formato PE (Portable Executable) de Windows 32 bits, escrito en Visual C++ y comprimido con la utilidad UPX, puede tomar el control de la máquina infectada en forma remota.
Utiliza los puertos 7721 y 7724 para acceder a los equipos que infecta, y puede enviarse por medio de Telnet a una máquina en concreto, o en forma masiva a varias direcciones IP por medio de alguna herramienta rastreadora de puertos (Port Scanners).
También es posible la infección de archivos por medio de recursos compartidos en redes locales, canales de IRC y adjunto a mensajes electrónicos.
El troyano está formado por tres componentes:
CaBrONaToR.exe (448,000 bytes)
Es el cliente que envía los comandos al servidor remoto.
CaBrONeDiT.exe (179,712 bytes)
Editor del servidor que permite modificar la parte del troyano que será enviada a la víctima, personalizando todas las configuraciones.
8======D.exe (258,167 bytes)
Servidor renombrado como ASDAPI.EXE luego de la edición, es el troyano propiamente dicho que se envía a la computadora que será infectada.
Luego que el troyano (ASDAPI.EXE) llega a la máquina de la víctima, por alguno de los métodos antes mencionados, cuando se ejecuta, el mismo se copia en el raíz de C y en el directorio de Windows, con los siguientes nombres:
C:\MSWSIGX.DLL
C:\Windows\ASDAPI.EXE
También modifica las siguientes entradas del registro para autoejecutarse en cada reinicio del sistema.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadPowerProfile = C:\Windows\ASDAPI.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
LoadPowerProfile = C:\Windows\ASDAPI.EXE
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto
'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).
Una vez en memoria, el troyano queda a la espera de los comandos que pueda enviar el cliente, habilitando conexiones a través de los puertos 7721 y
7724.
Cuando el troyano toma el control de la computadora infectada, las siguientes acciones son posibles vía remota (son solo algunas de las disponibles):
- Reportar información del sistema (versión de Windows, usuario, etc.)
- Abrir y cerrar la bandeja de la unidad de CD o DVD
- Leer directorios y ejecutar archivos
- Robar información de las conexiones RAS (Remote Access Server)
- Robar contraseñas de Hotmail, MSN Messenger y servicios .NET
- Posibilidad de conocer la IP de otros clientes
- IRC-Bot protegido con Anti-Flood
- Actualización automática del servidor y del cliente
- Desactivar o reiniciar Windows
- Descargar o enviar cualquier archivo
- Robar claves de acceso, modificar archivos de passwords, etc.
- Ejecutar ataques de denegación de servicio (D.o.S)
- Controlar el ratón
- Mostrar u ocultar la barra de tareas
- Formatear el disco duro
Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
1. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
2. Borre los archivos detectados como infectados (por ejemplo):
C:\MSWSIGX.DLL
C:\Windows\ASDAPI.EXE
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y luego en panel de la derecha busque y haga doble clic sobre la siguiente entrada:
LoadPowerProfile = C:\Windows\ASDAPI.EXE
4. Cambie la información del valor (C:\Windows\ASDAPI.EXE) por la siguiente:
Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
5. Confirme los cambios
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Pinche en la carpeta "RunServices" y luego en panel de la derecha busque y haga doble clic sobre la siguiente entrada:
LoadPowerProfile = C:\Windows\ASDAPI.EXE
8. Cambie la información del valor (C:\Windows\ASDAPI.EXE) por la siguiente:
Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
9. Confirme los cambios
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|