Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Troj/Backdoor.Plux. Borra antivirus, acceso clandestino
 
VSantivirus No. 973 - Año 7 - Viernes 7 de marzo de 2003

 Troj/Backdoor.Plux. Borra antivirus, acceso clandestino
http://www.vsantivirus.com/back-plux.htm

Nombre: Troj/Backdoor.Plux
Tipo: Caballo de Troya
Alias: Backdoor.Plux
Fecha: 6/mar/03
Plataforma: Windows 32-bits
Tamaño: 52,224 bytes

Este troyano compromete la seguridad del equipo infectado, al permitir el acceso clandestino de un intruso, que podría tomar el control total de la computadora, en forma remota.

Cuando se instala, el troyano avisa al intruso mediante un mensaje de ICQ al propio centro de mensajes del atacante. Esto incluye el envío de la dirección IP de la víctima.

Al ejecutarse por primera vez en una computadora, el troyano realiza las siguientes acciones:

Se copia a sí mismo con los siguientes nombres de archivos:

C:\Windows\Svchost.exe
C:\Windows\System\Wbem\Wb.com
C:\Windows\System\Com\Mscom32.com

"C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

El troyano crea luego la siguiente entrada en el registro:

HKLM\Software\Microsoft\Active Setup\Installed Components\
{45DD0432-AA51-31EF-EEFA-06AA12E6115C}\

StubPath = C:\Windows\System\Wbem\Wb.com

Para provocar su ejecución cada vez que el sistema sea reiniciado, añade a la clave del registro la siguiente entrada:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Run
COM Service = C:\Windows\System\Com\Mscom32.com

Intenta finalizar los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos:

_avp32
_avpcc
_avpm
ackwin32
advxdwin
agentsvr
alertsvc
alogserv
amon9x
anti-trojan
antivirus
ants
apimonitor
aplica32
apvxdwin
atcon
atguard
atro55en
atupdater
atwatch
autodown
autotrace
avconsol
avgcc32
avgctrl
avgserv
avgserv9
avgw
avkpop
avkserv
avkservice
avkwctl9
avp
avp32
avpcc
avpm
avsched32
avsynmgr
avwinnt
avxmonitor9x
avxmonitornt
avxquar
avxw
bd_professional
bidef
bidserver
bipcp
bisp
blackd
blackice
bootwarn
borg2
bs120
cdp
cfgwiz
cfiadmin
cfiaudit
cfinet
cfinet32
claw95
claw95cf
clean
cleaner
cleaner3
cleanpc
cmgrdian
cmon016
connectionmonitor
cpf9x206
cpfnt206
ctrl
cwnb181
cwntdwmo
defscangui
defwatch
deputy
doors
dpf
drweb32
dvp95
dvp95_0
efpeadm
ent
escanh95
escanhnt
escanv95
etrustcipe
evpn
exantivirus-cnet
expert
f-agnt95
fameh32
fast
fch32
fih32
firewall
flowprotector
fnrb32
f-prot
f-prot95
fp-win
frw
fsa
fsaa
fsav
fsav32
fsav530stbyb
fsgk32
fsm32
fsma32
fsmb32
f-stopw
gbmenu
gbpoll
generics
guard
guarddog
hacktracersetup
htlog
hwpe
iamapp
iamserv
icload95
icloadnt
icmon
icsupp95
icsuppnt
iface
ifw2000
iomon98
iparmor
iris
isrv95
jammer
jedi
kavlite40eng
kavpers40eng
ldnetmon
ldpro
ldpromenu
ldscan
lockdown
lockdown2000
luall
luau
lucomserver
mcagent
mcmnhdlr
mcshield
mctool
mcvsrte
mcvsshld
mfw2en
mgavrtcl
mgavrte
mghtml
mgui
minilog
monitor
moolive
mssmmc32
mu0311ad
mwatch
nav80try
navapsvc
navapw32
navdx
navlu32
navstub
navw32
navwnt
nc2000
ndd32
neowatchlog
netarmor
netinfo
netmon
netscanpro
netspyhunter-1.2
netutils
nisserv
nisum
nmain
normist
npf40_tw_98_nt_me_2k
npfmessenger
nprotect
npssvc
nsched32
ntrtscan
ntvdm
ntxconfig
nui
nvarch16
nvc95
nwservice
nwtool16
ostronet
outpost
p spf
padmin
panixk
pavproxy
pcc2002s902
pcc2k_76_1436
pcciomon
pccntmon
pccwin97
pccwin98
pcscan
periscope
persfw
pf2
pfwadmin
pingscan
platin
pop3trap
poproxy
portdetective
portmonitor
pptbc
ppvstop
programauditor
proport
protectx
purge
pview95
qconsole
qserver
rav7
rav7win
rav8win32eng
realmon
rescue
rrguard
rshell
rtvscn95
rulaunch
sbserv
scan32
scrscan
sfc
sgssfw32
shn
smc
sofi
spf
sphinx
spyxx
ss3edit
st2
supftrl
supporter5
sweep95
swnetsup
symproxysvc
symtray
taumon
tauscan
tca
tcm
tds2-98
tds2-nt
tds-3
tfak
tfak5
tgbob
titanin
titaninxp
trjscan
trojantrap3
v530wtbyb
v95
vbcmserv
vbcons
vbust
vbwin9x
vbwinntw
vet32
vet95
vettray
vir-help
vnlan300
vnpc3000
vpc32
vpc42
vpfw30s
vptr ay
vptray
vsched
vsecomr
vshwin32
vsmain
vsmon
vsstat
watchdog
webscanx
webtrap
wgfe95
wimmun32
winrecon
wnt
wradmin
wrctrl
wsbgate
xcommsvr
xpf202en
zapro
zatutor
zauinst
zonalm2601
zonealarm


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\Svchost.exe
C:\Windows\System\Wbem\Wb.com
C:\Windows\System\Com\Mscom32.com

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

COM Service

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Active Setup
\Installed Components
\{45DD0432-AA51-31EF-EEFA-06AA12E6115C}

5. Pinche en la carpeta "{45DD0432-AA51-31EF-EEFA-06AA12E6115C}" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS