| |
VSantivirus No. 769 - Año 6 - Viernes 16 de agosto de 2002
Troj/Backdoor.Ghost24. Troyano de acceso remoto
http://www.vsantivirus.com/back-ghost24.htm
Nombre: Troj/Backdoor.Ghost24
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Ghost.24, BackDoor-XG, W32/GhostBack.2_4, Backdoor/Ghost.24.Server, Backdoor/Ghost.24.Client, Backdoor.Gholame, Backdoor/XG, Ghost 2.4, BKDR_GHOST.24
Fecha: 14/ago/02
Tamaños: 70,656 bytes (servidor), 348,160 bytes (cliente)
Plataformas: Windows 32-bits
Se trata de un troyano del tipo backdoor que abre dos puertos en la computadora infectada, permitiendo a un atacante el control del sistema infectado. Escrito en Visual Basic y comprimido con la utilidad UPX, requiere la existencia de la librería
MSWINSCK.OCX para ejecutarse.
Posee algunos errores en su programación, por lo cuál no todas sus características están operativas en todos los sistemas.
Cuando el troyano es ejecutado por primera vez por el propio usuario, generalmente mediante engaños, se copia a si mismo en la carpeta
System de Windows:
C:\Windows\System\Run_cd.exe
En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como
'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).
También se agrega en el registro, para ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Run_cd = C:\Windows\System\Run_cd.exe
Luego de ello, el troyano abre los puertos 9696 y
9697.
El puerto 9696 es utilizado para las comunicaciones entre servidor y cliente, y el
9697 para la transferencia de archivos.
La descripción detallada de este troyano, la puede encontrar en el artículo de Marcos Rico
'Análisis del troyano Ghost 2.4' [http://www.vsantivirus.com/ghost24.htm].
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Referencias:
VSantivirus No. 767 - 14/ago/02
Análisis del troyano Ghost 2.4
http://www.vsantivirus.com/ghost24.htm
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Run_cd
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
