Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Troj/Backdoor.Hanuman.A. Abre un shell remoto en su PC
|
|
VSantivirus No. 877 - Año 7 - Domingo 1 de diciembre de 2002
Troj/Backdoor.Hanuman.A. Abre un shell remoto en su PC
http://www.vsantivirus.com/back-hanuman-a.htm
Nombre: Troj/Backdoor.Hanuman.A
Tipo: Caballo de Troya
Alias: Backdoor.Hanuman.a, W32/Hanuman.A, Troj/Hanuman, Hanuman, Backdoor.Hanuman, Hanuman Server, Win32.Hanuman trojan horse
Fecha: 28/nov/02
Plataforma: Windows 32-bits
Tamaño: 10,272 bytes
Puerto: 3333 TCP
Este troyano, creado por un programador hindú, es un pequeño ejecutable (PE, Portable Executable), que se comporta como un servidor que crea un shell remoto a la computadora infectada (server daemon).
Por defecto, utiliza el puerto 3333, y cualquier atacante que acceda a este puerto en forma remota, se encontrará con un shell de MS-DOS o un intérprete de comandos, que funciona tanto en Windows 95, 98 y Me, como en NT, 2000 y XP.
En el caso de Windows 9x y Me, utiliza el propio COMMAND.COM del sistema, como intérprete de comandos. En equipos con NT, 2000 y XP, emplea
CMD.EXE como shell.
No requiere autenticación, y permite a un usuario remoto, hacer todo lo que un usuario local podría llevar a cabo desde su teclado.
Aunque muestra una notificación al ejecutarse, no admite ninguna forma de abortar el programa.
El archivo no tiene forma de propagarse, ni de autoinstalarse. Requiere que sea ejecutado por el usuario.
Este troyano fue reportado por VSAntivirus a los principales fabricantes de antivirus el 28 de noviembre, y actualmente casi todos lo tienen en sus bases de datos.
Note que se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que podría usarse en forma premeditada por algún atacante, obligando por medio de engaños a su ejecución. También podría ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.
Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Para quitar el troyano de su sistema, solo borre el ejecutable. Puede tener cualquier nombre, aunque por defecto se encuentra en un archivo .ZIP de 5,363 bytes. El ejecutable en si mismo se llama
"Hanuman.exe" de 10,272 bytes.
Puede utilizar para identificarlo, un antivirus al día para examinar todos los archivos de su disco duro.
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Glosario:
DEMONIO (Daemon) - Un proceso que se ejecuta en segundo plano. Es un termino UNIX, aunque muchos otros sistemas lo soportan, incluso Windows, pero con otros nombres. Un programa puede pasarle una tarea al demonio y despreocuparse de ella.
PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|