VSantivirus No. 898 - Año 7 - Domingo 22 de diciembre de 2002
Troj/Backdoor.Kagee. Troyano de acceso remoto
http://www.vsantivirus.com/back-kagee.htm
Nombre: Troj/Backdoor.Kagee
Tipo: Caballo de Troya de acceso remoto
Alias: TR/Kagee, Trojan.Win32.Kagee-based
Fecha: 20/dic/02
Tamaño: 400 Kb
Plataforma: Windows 32-bits
El mayor peligro de este troyano, es que compromete la seguridad del equipo infectado, al habilitar una conexión clandestina a través de una puerta trasera (backdoor).
El troyano, debe ser ejecutado en forma premeditada por su víctima, para que se instale con todas sus característica maliciosas. Para lograr esto, puede ser enviado por un atacante o descargado de un sitio de Internet, disfrazado de alguna supuesta utilidad.
El nombre del ejecutable puede ser por lo tanto cualquiera, aunque originalmente fue visto con el nombre de
"Run.com".
Cuando es ejecutado, el troyano crea los siguientes archivos:
C:\Windows\System\Mskge.exe
C:\Windows\Netieme.com
C:\Windows\Msie40.exe
C:\Windows\Run.com (Run1.com)
C:\Windows\system\Run.com (Run2.com)
C:\Windows\Expl386.com
Para ejecutarse cada vez que Windows se reinicia, crea las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSKGE = C:\Windows\System\MSKGE.EXE
MSIE40 = C:\Windows\MSIE40.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
NETIEME = C:\Windows\NETIEME.COM
En forma adicional, puede crear la siguiente entrada:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = "C:\Windows\System\RUN.COM "%1" %*"
Esto, hace que cada vez que se desee ejecutar cualquier programa o aplicación, primero se ejecute el propio troyano, lo que dificulta su correcta remoción.
El troyano aumenta el tamaño de su propio ejecutable, agregando un solo carácter (el que representa la letra
"a"), al final de su código.
Allí, también contiene la siguiente cadena:
EDivByZero
Para eliminar el troyano de un sistema infectado
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\Nombre\Regedit.exe, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) = "C:\Windows\System\RUN.COM "%1" %*"
6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (C:\Windows\System\RUN.COM) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
"%1" %*
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:
MSKGE = C:\Windows\System\MSKGE.EXE
MSIE40 = C:\Windows\MSIE40.EXE
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
10. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
NETIEME = C:\Windows\NETIEME.COM
11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
13. Realice un escaneo de todos sus discos con uno o más antivirus actualizados.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\System\Mskge.exe
C:\Windows\Netieme.com
C:\Windows\Msie40.exe
C:\Windows\Run.com (Run1.com)
C:\Windows\system\Run.com (Run2.com)
C:\Windows\Expl386.com
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
