Trojan: Backdoor.Bionet.40a. Acceso remoto a nuestra computadora

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 365 - Año 5 - Domingo 8 de julio de 2001

Nombre: Backdoor.Bionet.40a
Tipo: Caballo de Troya
Fecha: 4/jul/01

Este troyano de acceso remoto, posee características similares al SubSeven, Netbus, o BackOrifice, al permitir el acceso no autorizado a la computadora infectada, a la que se conecta por su "puerta trasera" (backdoor), sin el conocimiento de su dueño.

El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Cuando el servidor es ejecutado (el SERVIDOR es la parte del troyano que se activa en la computadora de la víctima, el CLIENTE es la parte que utiliza el atacante), se copia a si mismo en esta ubicación:

C:\Windows\System\Procmon.exe

Luego modifica el registro, para ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
procmon = C:\Windows\System\procmon.exe

Una vez instalado, y cuando se detecta una conexión a Internet, el troyano envía un mensaje al ICQ del atacante, avisando que la víctima está conectada, y pronta para recibir instrucciones en forma remota.

El puerto de escucha es configurable. El administrador remoto, puede acceder a todos los archivos de la computadora infectada, incluyendo la posibilidad de descargar o subir archivos. También puede modificar el registro en forma remota, y ejecutar comandos y programas.

Para disimular su presencia, el troyano se asigna para su ejecución un nivel de prioridad bajo, de modo que no se altera el rendimiento del sistema, aún en una computadora con pocos recursos o muy lenta.

También se oculta de la lista de tareas (CTRL+ALT+SUPR), asignándose como un servicio después que es cargado en memoria.

Recomendamos utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión del troyano con Internet.

Como sacar el troyano de un sistema infectado

Para eliminar el troyano manualmente, siga estos pasos:

1. Reinicie su computadora en "Modo a prueba de fallos". Para ello, reinicie la computadora, y mientras enciende, mantenga pulsada la tecla CTRL o pulse alternativamente la tecla F8, hasta que aparezca el menú de inicio, donde deberá seleccionar la opción "Inicio en modo a prueba de fallos" o similar.

2. Ejecute desde este modo, uno o dos antivirus al día, y borre el archivo del troyano.

3. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

4. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

procmon

6. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy