Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Backdoor-JZ. Controla nuestro PC, usa el puerto 30005
 
VSantivirus No. 193 - Año 5 - Miércoles 17 de enero de 2001

Nombre: Backdoor-JZ
Tipo: Caballo de Troya de acceso remoto
Fecha: 12/ene/01
Tamaño: 7,680 bytes

Se trata de un troyano, que se suele transmitir a través del IRC (pero puede ser descargado en su computadora desde otras fuentes, consciente o inconscientemente) cuyo ejecutable está comprimido con la utilidad UPX.

Es capaz de establecer conexiones TCP/IP por el puerto 30005 en la computadora infectada. A través de esta conexión, un atacante puede abrir, ejecutar y borrar archivos de la víctima, en forma remota desde Internet.

Otras acciones posibles son cerrar Windows, enviar pings hacia el exterior, etc.

Cuando el troyano se ejecuta, el mismo se copia a esta carpeta:

C:\WINDOWS\TRAYWND.EXE

Luego modifica el registro de Windows, para permitir su ejecución en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Taskschd=C:\WINDOWS\TRAYWND.EXE

Las indicaciones de una infección, son la presencia del puerto TCP/IP 30005 abierto (un cortafuegos como Zone Alarm avisará de esto), y la presencia del archivo TRAYWND.EXE en el sistema.

Este troyano, además, es capaz de conectarse a los servidores de IRC (Internet Relay Chat), y distribuirse a si mismo desde allí, a otros usuarios que comparten los mismos canales.

Instrucciones para removerlo manualmente

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
Taskschd

3. Pinche sobre la carpeta "Taskschd" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su PC (Inicio, Apagar el sistema, Reiniciar)

6. Busque (Inicio, Buscar, Archivos y carpetas) y borre el archivo TRAYWND.EXE (generalmente en C:\WINDOWS\TRAYWND.EXE).

7. Revise su computadora con un antivirus al día.

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Fuente: Kaspersky, McAfee


Ver también:
02/nov/00 - Zone Alarm - El botón rojo que desconecta su PC de la red

 

Copyright 1996-2001 Video Soft BBS