Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.Netdex.A. Infecta desde página Web
 
VSantivirus No. 833 - Año 6 - Viernes 18 de octubre de 2002

Troj/Backdoor.Netdex.A. Infecta desde página Web
http://www.vsantivirus.com/back-netdex-a.htm

Nombre: Troj/Backdoor.Netdex.A
Tipo: Caballo de Troya de acceso remoto
Alias: JS_Netdex.A, Backdoor-ALT, Troj/Netdex.A, Backdoor.Netdex, BKDR_NETDEX.A, JS_NETDEX.A, Troj/Netdex-A, JS.Netdex, Jscript.Netdex.Trojan
Plataforma: Windows 32-bits
Fecha: 16/oct/02
Tamaño: Varios

Es un troyano del tipo 'backdoor' (abre una puerta trasera para acceder y controlar el sistema), que se aprovecha de una vulnerabilidad de la Máquina Virtual de Microsoft, que permite a un script acceder y ejecutar cualquier control ActiveX presente en la máquina local.

Puede ingresar a nuestro sistema al visitar un sitio Web (originalmente un sitio de origen ruso).

La página Web posee el título y el texto en ruso, y pide el ingreso de una contraseña.

La página Web posee el título y el texto en ruso, y pide el ingreso de una contraseña

Más información sobre la falla explotada (Microsoft VM ActiveX Component), en el siguiente enlace (en inglés):

http://support.microsoft.com/support/kb/articles/Q275/6/09.ASP

Se aconseja descargar el parche que corrige la vulnerabilidad en la máquina virtual Java de esta dirección (allí se le indica si es o no necesario el parche):

http://www.microsoft.com/technet/security/bulletin/MS00-075.asp

El troyano consta de numerosos componentes, desde scripts, hasta ejecutables en Visual Basic.

Cuando se visualiza una determinada página Web conteniendo un código Javascript malicioso, éste se ejecuta, creando dos archivos en el disco duro local:

C:\WINDOWS\TEMP\A.COM
C:\WINDOWS\Cookies\ZSHELL.JS

En todos los casos, 'C:\Windows' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como 'C:\WinNT' en Windows NT/2000).

Cuando ZSHELL.JS es ejecutado por el mismo Javascript anterior, se crea un archivo de proceso por lotes (.BAT), llamado A.BAT. Este último crea y ejecuta el archivo A.COM.

El troyano borra los dos archivos, y puede descargar y ejecutar otro archivo llamado INSTALL.PHP.

Cuando A.COM es ejecutado, el mismo desencripta y libera un programa llamado NETD.EXE, que luego crea y ejecuta un archivo llamado NETDEX.EXE.

El troyano utiliza NETDEX.EXE para todas sus comunicaciones vía Internet, cómo descargar archivos o enviar correo electrónico.

NETDEX.EXE hace uso del archivo I.JS como archivo de entrada para sus parámetros, y utiliza O.JS como salida para los resultados de la ejecución de sus comandos. También descarga el archivo INSTALL.PHP desde el servidor remoto que tenía la página infectada.

ZSHELL.JS modifica las siguientes claves del registro para ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Time Zone Synchronization =
wscript "C:\WINDOWS\Cookies\zshell.js"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Time Zone Synchronization =
wscript "C:\WINDOWS\Cookies\zshell.js"

Cuando INSTALL.PHP es ejecutado, el mismo descarga y ejecuta otro archivo: SH.PHP.

Finalmente, el troyano libera una página Web llamada REPOST.HTML. Este archivo contiene código capaz de ejecutar el archivo ZSHELL.JS y modificar la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
PostNotCached = C:\WINDOWS\Cookies\repost.html

El backdoor principal reconoce y ejecuta 10 comandos básicos:

  • EXIT (termina la ejecución del troyano)
  • NOBREAK (no hace nada)
  • SETCMDURL (configura nueva página Web para comunicarse)
  • RUN (ejecuta comando con argumento)
  • SENDMAIL (envía correo usando la cuenta del usuario)
  • UPDATE (descarga nuevo ZSHELL.JS)
  • ALERT (muestra un mensaje)
  • SLEEP (espera determinada cantidad de minutos)
  • SENDCONFIRM (confirma su presencia)
  • RUNTHESELF (se reinicia desde ZSHELL.JS)

En intervalos de un minuto cada uno, ZSHELL.JS recibe una serie de comandos para ejecutarse desde el host. Estos comandos pueden realizar lo siguiente:

  • Ejecutar un comando o un archivo local específico
  • Muestra un mensaje específico en el escritorio
  • Se actualiza a si mismo
  • Envía correo
  • Finaliza su propio proceso

La instalación del troyano en el sistema, compromete su seguridad, y lo hace vulnerable a cualquier clase de modificación o robo de información.


Archivos principales del troyano:

  • zshell.js - componente JavaScript del troyano
  • a.com - componente DOS (helper)
  • netd.exe - Ejecutable Win32 (transferencias)
  • o.js, installer.php - Instalador Java Script
  • repost.html, sh.php - Página adicional con JavaScript


Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos estarán presentes):

C:\WINDOWS\TEMP\A.COM
C:\WINDOWS\Cookies\BANNER.HTML
C:\WINDOWS\Cookies\ZSHELL.JS
C:\WINDOWS\Cookies\INSTALL.PHP
C:\WINDOWS\Cookies\NETD.EXE
C:\WINDOWS\Cookies\NETDEX.EXE
C:\WINDOWS\Cookies\I.JS
C:\WINDOWS\Cookies\O.JS
C:\WINDOWS\Cookies\INSTALL.PHP
C:\WINDOWS\Cookies\REPOST.HTML
C:\WINDOWS\Cookies\SH.PHP

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Time Zone Synchronization

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Time Zone Synchronization

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Internet Explorer
\AboutURLs

7. Pinche en la carpeta "AboutURLs" y en el panel de la derecha busque la siguiente entrada:

PostNotCached = C:\WINDOWS\Cookies\repost.html

8. Pinche sobre "PostNotCached" y cambie la información del valor, de modo que la entrada quede así:

PostNotCached = res://mshtml.dll/repost.htm

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS