Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.HaaN. Captura toda la información privada
 
VSantivirus No. 601 - Año 6 - Jueves 28 de febrero de 2002

 Troj/Backdoor.HaaN. Captura toda la información privada
http://www.vsantivirus.com/back-haan.htm

Nombre: Troj/Backdoor.HaaN
Tipo: Caballo de Troya de acceso directo
Alias: BDS/HaaN
Tamaño: 181 Kb aprox.
Fuente: Central Command

Al igual que con otros troyanos, con "HaaN" un atacante puede acceder a su computadora por la "puerta trasera", obteniendo en forma clandestina el control de la misma.

"HaaN" captura todo lo tecleado por la víctima y lo guarda en archivos de registro. De este modo, al acceder a estos archivos, el atacante puede adueñarse de información vital como contraseñas, números de tarjetas de crédito, etc.

El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Originalmente "HaaN" puede presentarse como SERVER.EXE. Si este archivo es ejecutado, se copian entonces los siguientes archivos al disco duro:

C:\Windows\System\Wincmd.exe
C:\Windows\TEMP\Ev04\Ev04.exe

Para cargarse en memoria cada vez que Windows se reinicia, el troyano crea esta clave en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wincmd=c:\windows\system\wincmd.exe

Si el archivo SERVER.EXE es renombrado como SERVER.ZIP, un examen revela la presencia de los archivos Msvbrt60.dll y ev0.exe en el cuerpo del troyano.

Para eliminar el virus de un sistema infectado

Ejecute uno o más antivirus al día y borre los archivos identificados como Troj/Backdoor.HaaN o similar.

Si no son borrados, borre estos archivos desde el Explorador de Windows:

C:\Windows\System\Wincmd.exe
C:\Windows\TEMP\Ev04\Ev04.exe

Con REGEDIT (Inicio, Ejecutar, escribir REGEDIT y dar Enter), buscar la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

Pinchar sobre la carpeta "Run" y borrar en la ventana de la derecha, estas referencias:

Wincmd          c:\windows\system\wincmd.exe

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS