VSantivirus No. 797 - Año 6 - Viernes 13 de setiembre de 2002
Troj/Backdoor.Helios. Archivo: "Scanstartup.exe"
http://www.vsantivirus.com/back-helios.htm
Nombre: Troj/Backdoor.Helios
Tipo: Caballo de Troya de acceso remoto
Alias: HELIOS, Trojan/Backdoor Helios
Fecha: 12/set/02
Plataforma: Windows 32-bits
Fuente: Per Antivirus
Este caballo de Troya, escrito en Visual Basic 6, y reportado por Per Antivirus, es capaz de deshabilitar los antivirus y cortafuegos instalados en la computadora infectada, además de habilitar el
puerto 3737 para conectarse a través de una puerta trasera con un atacante que podrá tomar el control remoto de dicha computadora.
Se presenta en un archivo llamado SCANSTARTUP.EXE, en formato PE (Portable Executable).
Cuando el usuario lo ejecuta, el troyano se copia en la carpeta System de Windows, con los atributos de solo lectura, de sistema y oculto habilitados
(+R +S +H):
C:\Windows\System\Scanstartup.exe
'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).
También genera las siguientes entradas en el registro de Windows, para autoejecutarse en próximos reinicios del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SCANSTRTUP = C:\Windows\System\Scanstartup.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
SCANSTRTUP = C:\Windows\System\Scanstartup.exe
Además, crea esta entrada:
HKLM\Software\Microsoft\ActiveSetup\Installed Components
StubPath = C:\Windows\System\Scanstartup.exe
Al ser ejecutado, el troyano notifica al beeper del usuario que haga uso del servicio de mensajería instantánea
ICQ, abriendo el puerto 3737.
El troyano posee dos rutinas maliciosas. Una de ellas intentará finalizar cualquiera de los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos, que estuvieran activos en ese momento, dejando indefensa a la computadora ante cualquier ataque vírico:
_Avp32.exe
_Avpcc.exe
_Avpm.exe
Agv.exe
Anti-Trojan.exe
Anti-Trojan.exe
Ants.exe
Aplica32.exe
Atcon.exe
Ats.exe
Atscan.exe
Atupdater.exe
Atwatch.exe
Autoupdate.exe
Avconsol.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpm.exe
Blackd.exe
Blackice.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Cleaner.exe
Cleaner.exe
Cleaner3.exe
Conseal.exe
Defence.exe
Defense.exe
Drwatson.exe
Fast.exe
Frw.exe
Guard.exe
Iamapp.exe
Iamapp.exe
Iamserv.exe
Iamserv.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Lockdown.exe
Lockdown2000.exe
Lockdown2000.exe
Mcagent.exe
Mcupdate.exe
Minilog.exe
Minilog.exe
Moolive.exe
Moolive.exe
Nav.exe
Nav32.exe
Navapw32.exe
Nc2000.exe
Ndd32.exe
Net2000.exe
Netcommando.exe
Netpro.exe
Netprotect.exe
Norman.exe
Norman_32.exe
Norman_Av.exe
Norman32.exe
Normanav.exe
Norton.exe
Norton_Av.exe
Nortonav.exe
Npfw.exe
Npfw32.exe
Nprotect.exe
Nsched32.exe
Panda.exe
Pandaav.exe
Pav.exe
Pc-Cillan
Pcfwallicon.exe
Poproxy.exe
Pview95.exe
Rav.exe
Regedit.exe
Safeweb.exe
Smc.exe
Sophos.exe
Sophos_Av.exe
Sophosav.exe
Sphinx.exe
Spy.exe
Spygate.exe
Spyx.exe
Spyxx.exe
Ss3edit.exe
Taumon.exe
Tc.exe
Tca.exe
Tca.exe
Tcm.exe
Tds2-98.exe
Tds-3.exe
Update.exe
Vsecomr.exe
Vshwin32.exe
Vsmon.exe
Vsmon.exe
Vsstat.exe
Watchdog.exe
Webscanx.exe
Wgfe95.exe
Winroute.exe
Wradmin.exe
Wrctrl.exe
Zapro.exe
Zapro.exe
Zatutor.exe
Zauinst.exe
Zonealarm.exe
Zonealarm.exe
La segunda rutina maligna, es la que permite que un atacante, conectado al servidor (máquina infectada) por medio del cliente del troyano, pueda realizar acciones como las siguientes:
- Conseguir información del sistema y de la red, nombres de usuarios y contraseñas.
- Imprimir texto, ejecutar archivos musicales, abrir o cerrar la bandeja del CD-ROM.
- Interceptar y capturar información confidencial de todo lo tecleado.
- Interceptar y capturar la información que se muestre en pantalla.
- Desactivar, reiniciar o desconectar el equipo de la red.
Si el troyano logró deshabilitar el cortafuegos instalado, la conexión clandestina con el atacante no será detectada.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
SCANSTRTUP
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
SCANSTRTUP
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\ActiveSetup
\Installed Components
7. Pinche en la carpeta "Installed Components" y en el panel de la derecha busque y borre la siguiente entrada:
StubPath
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|