|
VSantivirus No. 809 - Año 6 - Miércoles 25 de setiembre 2002
Troj/Backdoor.PestKey.4. Control total en forma remota
http://www.vsantivirus.com/back-pestkey4.htm
Nombre: Troj/Backdoor.PestKey.4
Tipo: Caballo de Troya de acceso remoto
Alias: Troj/PestKey.4 BDS/Pestdoor.4
Fecha: 23/set/02
Tamaño: 752,640 bytes (servidor)
Plataforma: Windows 95, 98, Me y XP (no funciona en Windows 2000)
Al ejecutarse, este troyano habilita el acceso remoto a la computadora infectada. El nombre original del archivo es
"msHtml.exe", pero esto puede ser modificado por el atacante, por lo que solo se menciona como referencia.
La ejecución solo se produce si el usuario hace doble clic sobre el archivo, tal vez engañado en forma premeditada para que piense se trata de alguna utilidad.
Cuando ello sucede, el troyano agrega el siguiente archivo al directorio de Windows:
C:\Windows\msHtml.exe
También modifica la siguiente clave en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MS HTML = C:\WINDOWS\msHtml.exe
Esto hace que se ejecute cada vez que Windows se reinicia (sin embargo, tenga en cuenta que todos estos nombres pueden ser modificados por el atacante).
Cuando el troyano se ha instalado, permite el acceso total a todos los discos duros y archivos de la víctima.
Otras acciones son abrir o cerrar la bandeja de la lectora de CD, capturar las contraseñas guardadas en la máquina atacada, obtener información de dicha computadora, cambiar los colores de las ventanas, enviar caja de diálogos con mensajes, visualizar la pantalla de la víctima en forma remota, finalizar la sesión de Windows, reiniciar la computadora, finalizar tareas y servicios en ejecución (por ejemplo de antivirus y cortafuegos), cambiar la configuración del browser (página de inicio, buscador), etc.
También se pueden esconder o mostrar los iconos del escritorio, el botón de Inicio, la barra de herramientas, el reloj, habilitar o deshabilitar teclas como CTRL, ALT y SUPR, apagar el monitor, cambiar el nombre de la computadora, etc.
Permite manejar en forma remota el contenido del portapapeles, capturar su contenido y cambiarlo o vaciarlo, o incluso deshabilitarlo.
También es capaz de modificar la hora y la fecha de la computadora, controlar los movimientos del puntero del ratón y sus botones, intercambiarlos (derecho por izquierdo, etc.).
Puede crear, borrar, o copiar archivos y carpetas, ejecutar archivos .WAV, cambiar el papel tapiz y otras características del escritorio, además de cargar o descargar archivos.
Y además de todo ello, actuar como Keylogger, capturando y enviando al atacante todo lo tecleado por la víctima.
Puede abrir una ventana de chat para conversar con la víctima en tiempo real, o cosas como cambiar la configuración de la impresora e imprimir cualquier texto.
Además, permite obtener el control, en forma parcial, del MSN Messenger de la víctima, pudiendo incluso cambiar su lista de contactos, rechazar contactos, cambiar contraseñas, etc.
El servidor puede ser configurado por el atacante para cambiar los siguientes parámetros:
- Habilitar la notificación vía ICQ
- Número UIN para el ICQ
- Puerto de conexión a Internet (11831 por defecto)
- Nombre del archivo
- Nombre de las claves modificadas en el registro
- Puerto para carga y descarga de archivos (29559 por defecto)
- Directorio de instalación
Pueden configurarse archivos BAT que el troyano ejecutará en la máquina remota. Esto habilita una gran cantidad de comandos, incluso la posibilidad de borrar y formatear los discos duros.
Note que se requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.
Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Limpieza del troyano
Para quitar el troyano de su sistema, borre el ejecutable (puede tener cualquier nombre). Para identificarlo, utilice un antivirus al día para examinar todos los archivos de su disco duro. También borre en el registro la clave donde se autoejecuta. Por ejemplo:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre]
=
[nombre y ubicación]
Donde [nombre] corresponde al nombre dado al troyano por el atacante.
Sin embargo, tenga en cuenta que de acuerdo a las acciones realizadas por el troyano (carga, descarga, modificación o ejecución de archivos), podrían haberse comprometido archivos vitales o incluso la seguridad total del sistema, debiéndose reinstalar Windows para su funcionamiento correcto.
Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
PEST Remote Keylogger: nuestros datos al descubierto
http://www.vsantivirus.com/pestkey.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|