|
VSantivirus No. 594 - Año 6 - Jueves 21 de febrero de 2002
Backdoor.Infector. Grave riesgo para nuestro PC
http://www.vsantivirus.com/backdoor-infector.htm
Nombre: Backdoor.Infector
Tipo: Caballo de Troya de acceso remoto
Fecha: 20/feb/02
Plataforma: Windows 95/98/Me
Quienes se infecten con este troyano, exponen todos sus archivos y su computadora, al control remoto de un intruso, que podrá realizar cualquier acción en ella.
La forma de arribar a nuestro PC puede variar, ya que el atacante puede generar muchas maneras de camuflar el troyano, incluso pegándolo a otros ejecutables que sirven de señuelo, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
El troyano se activa al ser ejecutado por el propio usuario. Si ello ocurre, él se copia a si mismo a la carpeta de Windows (indicado por la variable
%Windows%, por defecto C:\Windows o C:\Winnt).
Por lo ya visto, también el nombre del archivo puede variar, ya que el atacante puede ponerle cualquiera que desee al crearlo.
Luego de copiarse al sistema, el troyano modifica las siguiente claves en el registro de Windows, y los archivos
WIN.INI y SYSTEM.INI, todo ello para instalarse en memoria cada vez que Windows se reinicia.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[Nombre del archivo] = C:\Windows\[Nombre del archivo]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[Nombre del archivo] = C:\Windows\[Nombre del archivo]
En el archivo WIN.INI (C:\Windows\Win.ini):
[windows]
load=C:\Windows\[Nombre del archivo]
run=hpfsched C:\Windows\[Nombre del archivo]
En el archivo SYSTEM.INI (C:\Windows\System.ini):
[boot]
shell=explorer.exe C:\Windows\[Nombre del archivo]
Una vez instalado, el troyano puede notificar al atacante su disponibilidad (y la del sistema infectado) a través del ICQ o IRC.
Por defecto, abre el puerto 35000 para la comunicación, pero esto puede ser configurado.
Una vez activo y a la espera de ordenes vía Internet, las opciones que el atacante tendrá para controlar nuestro sistema son:
- Control total de los archivos (copiar, mover, grabar, borrar, etc.)
- Carga o descarga de cualquier archivo de y hacia nuestra computadora
- Ejecución remota de cualquier programa, utilidad, archivo, etc., en nuestro PC, incluyendo otros troyanos, virus, etc.
- Control de los procesos ejecutados en nuestro PC (los programas y utilidades que corren en nuestra computadora).
- Manipulación del registro con posibilidad de modificar, crear o borrar claves.
- Mostrar cualquier tipo de mensajes
- Conseguir todas las contraseñas, nombres de usuario, etc.
- Redirigir cualquier tipo de tráfico TCP de un puerto
específico a otro (lo mismo con las direcciones IP asociadas)
- Vista remota del contenido de nuestro escritorio (el atacante puede ver lo mismo que nosotros en su monitor)
- Captura de todo lo tecleado en nuestra computadora (adquisición de nombres de usuario, contraseñas, etc.)
- Llevar acciones molestas como manipular el mouse, abrir y cerrar las bandejas de CDs, apagar y encender el monitor, etc.
Recomendamos utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
IMPORTANTE:
Si el troyano ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Vistas la gran cantidad de posibilidades que un atacante dispone vía remota, es imposible garantizar la integridad del sistema luego de la infección. Esto es más crítico en caso de tenerla conectada a una red.
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.
De cualquier modo, y sin olvidar las mencionadas previsiones, se puede sugerir el siguiente plan de acción para un intento de sacar el troyano en forma manual.
Cómo borrar manualmente el troyano
Para borrar manualmente el troyano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
1. Ejecute un antivirus actualizado, copie el nombre del archivo detectado como
Backdoor.Infector en un papel.
2. Seleccione Inicio, Buscar, Archivos o carpetas
3. Teclee el nombre del archivo obtenido en el punto 1 y pulse ENTER
4. Borre ese archivo si aparece
5. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
7. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con el nombre del archivo obtenido en el punto 1, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
9. Pinche sobre la carpeta "RunServices". En el panel de la derecha pinche sobre la entrada que coincida con el nombre del archivo obtenido en el punto 1, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Desde Inicio, Ejecutar, teclee WIN.INI y Enter. Se abrirá el bloc de notas con el archivo
WIN.INI pronto para editar.
12. Modifique las siguientes líneas bajo la etiqueta [windows] si existen:
load=C:\Windows\[Nombre del archivo]
run=hpfsched C:\Windows\[Nombre del archivo]
Debe quedar así (si tiene dudas, en lugar de borrar las claves, coloque un punto y coma adelante de la línea para deshabilitarla. De ese modo evita su ejecución, pero le permite volver las cosas a como estaban antes simplemente borrando el punto y coma):
load=
run=
o esta opción:
; load=C:\Windows\[Nombre del archivo]
; run=hpfsched C:\Windows\[Nombre del archivo]
13. Seleccione en el bloc de notas la opción Archivo, Salir y confirme grabar los cambios
14. Desde Inicio, Ejecutar, teclee SYSTEM.INI y Enter. Se abrirá el bloc de notas con el archivo
SYSTEM.INI pronto para editar
15. Modifique la siguiente línea bajo la etiqueta [boot] si existe:
shell=explorer.exe C:\Windows\[Nombre del archivo]
Debe quedar así:
shell=explorer.exe
16. Seleccione en el bloc de notas la opción Archivo, Salir y confirme grabar los cambios
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Notas
Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|