|
VSantivirus No. 601 - Año 6 - Jueves 28 de febrero de 2002
Troj/Backdoor.HaaN. Captura toda la información privada
http://www.vsantivirus.com/back-haan.htm
Nombre: Troj/Backdoor.HaaN
Tipo: Caballo de Troya de acceso directo
Alias: BDS/HaaN
Tamaño: 181 Kb aprox.
Fuente: Central Command
Al igual que con otros troyanos, con "HaaN" un atacante puede acceder a su computadora por la "puerta trasera", obteniendo en forma clandestina el control de la misma.
"HaaN" captura todo lo tecleado por la víctima y lo guarda en archivos de registro. De este modo, al acceder a estos archivos, el atacante puede adueñarse de información vital como contraseñas, números de tarjetas de crédito, etc.
El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Originalmente "HaaN" puede presentarse como SERVER.EXE. Si este archivo es ejecutado, se copian entonces los siguientes archivos al disco duro:
C:\Windows\System\Wincmd.exe
C:\Windows\TEMP\Ev04\Ev04.exe
Para cargarse en memoria cada vez que Windows se reinicia, el troyano crea esta clave en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wincmd=c:\windows\system\wincmd.exe
Si el archivo SERVER.EXE es renombrado como
SERVER.ZIP, un examen revela la presencia de los archivos
Msvbrt60.dll y ev0.exe en el cuerpo del troyano.
Para eliminar el virus de un sistema infectado
Ejecute uno o más antivirus al día y borre los archivos identificados como
Troj/Backdoor.HaaN o similar.
Si no son borrados, borre estos archivos desde el Explorador de Windows:
C:\Windows\System\Wincmd.exe
C:\Windows\TEMP\Ev04\Ev04.exe
Con REGEDIT (Inicio, Ejecutar, escribir REGEDIT y dar Enter), buscar la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
Pinchar sobre la carpeta "Run" y borrar en la ventana de la derecha, estas referencias:
Wincmd
c:\windows\system\wincmd.exe
Notas
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|