Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
 
VSantivirus No. 148 - Año 4 - Domingo 3 de diciembre de 2000

Nombre: BackDoor-G2
Tipo: Trojan de acceso remoto
Alias: BackDoor-EP, BackDoor-G2.svr.21, BackDoor-G2.gen, BackDoor-G2.svr.20, BackDoor-G2.svr.gen, BackDoor.PolyDrop, Badman Trojan, Serbian Badman Trojan, Sub7 v2.x, SubSeven v2.0, SubSeven v2.1, SubSeven v2.1 Gold, SubSeven v2.12, SubSeven v2.13, TSB Trojan

Nota: Existe una variante conocida como "Sub7 Defcon8 2.1", que soporta métodos de ataques DoS (Denial of Service, Denegación de servicio).

Se trata de un trojan que no es nuevo, pero agrega continuamente nuevas funcionalidades, y que además es usado por otros virus para ser instalado en las computadoras de las víctimas a las que infectan.

En principio, ofrece al atacante, el acceso total a archivos y datos de la computadora víctima, a través de una conexión a Internet.

Aunque el puerto por defecto es el 27374 (TCP), esto puede ser modificado desde la configuración del programa.

Normalmente llega a nuestras computadoras como un ejecutable en formato Win32 PE que actúa como "dropper" (la traducción sería "cuentagotas", y se le dice así a todo programa que ha sido modificado para realizar la instalación de un virus en un sistema atacado). Un "dropper" por lo tanto, es aquél programa que contiene deliberadamente un virus (en este caso al trojan), y lo hace de tal forma que no sea detectado por algunos antivirus, para liberarlo (soltarlo), en determinado momento dentro del sistema infectado. Además, en este caso, también suele estar disfrazado como una imagen JPG o BMP.

Cuando el dropper se ejecuta, se liberan dos archivos dentro de la carpeta Windows. Estos archivos conforman el "server" o servidor y el cargador (o "loader"). El primero es el que dará el acceso al atacante, y normalmente, se llama "MSREXE.EXE". El cargador puede llamarse "RUN.EXE", "WINDOS.EXE" o "MUEEXE.EXE".

Debemos tener en cuenta que estos nombres pueden ser modificados por el programa de configuración del trojan.

Otros dos archivos están relacionados con el trojan, y son el programa de configuración, que permite personalizar al servidor, y el cliente, el programa usado por el atacante para rastrear la red, y conectarse a cualquier computadora en la que el servidor esté "a la escucha".

Estos dos archivos no se involucran con el sistema operativo, pudiendo ser borrados de ser encontrados (por un antivirus).

Los sintomas de una infección con este trojan, puede ser la existencia en nuestra computadora de los archivos mencionados anteriormente, cambios en el registro (como veremos más adelante), y comportamientos extraños o inexplicables, como ventanas de mensajes, ingreso de texto sin nuestra acción directa, etc.

El trojan se engancha en el sistema atacado de varias maneras (existen cuatro formas diferentes, y puede llegar a usar más de una).

a) Agregando el nombre del server al archivo WIN.INI de esta manera:

[windows]
run=MSREXE.EXE

(Note que el nombre del server puede ser cambiado).

b) Agregando el nombre del server al archivo SYSTEM.INI:

[boot]
shell=Explorer.exe MSREXE.EXE

(Note que "shell=Explorer.exe" es correcto, pero se le agrega el nombre del server en la misma línea)

c) Agregando el nombre del server al registro, en las ramas:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

d) Cambiando en el registro la forma en que el sistema operativo ejecuta los archivos .EXE:

HKCR\exefile\shell\open\command\
(Predeterminado) = MUEEXE.EXE "%1" %*

Normalmente allí solo debe incluirse esto:

"%1" %*

El cambio, hace que Windows ejecute el cargador del trojan, cada vez que un archivo ejecutable es llamado. El cargador ejecuta al server (MSREXE.EXE), y luego abre el ejecutable solicitado por el sistema, no notando el usuario ningún extraño comportamiento.

El trojan también registra la extensión .DL como un tipo de archivo ejecutable (como un .EXE, .DLL, etc.). Esto permite que el atacante descargue archivos con esta extensión en el sistema de la víctima, y pueda ejecutarlos en forma remota.

Como limpiar manualmente el sistema infectado

La forma de eliminar manualmente el trojan, es un poco complicada, debido a la forma en que se "engancha" al sistema operativo.

Para empezar, y cómo ya vimos con el virus "W32/Navidad", debido a la forma como puede llegar a modificar la asociación normal con los archivos .EXE, debemos hacer antes algunos cambios para poder sacarlo del registro, porque si ejecutamos el editor del registro (REGEDIT.EXE) sin más, podemos estar ejecutando nuevamente al trojan.

1) Por lo tanto, primero, desde una ventana MS-DOS escriba:

REN REGEDIT.EXE REGEDIT.COM

2) Luego, ejecute un antivirus actualizado, pero solo anote el nombre de los archivos que corresponden al trojan. Si los borra, corre el riesgo de no poder ejecutar ninguna otra herramienta, y por lo tanto, no podrá arreglar el registro.

3) Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

Borre las referencias a los nombres de archivos encontrados en el paso 2, de las siguientes claves del registro:

HKEY_CLASSES_ROOT\exefile\shell\open\command\

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

Solo debe dejar lo siguiente (escríbalo tal cuál, o use cortar y pegar):

"%1" %*

4) Busque los nombres de los archivos encontrados en el paso 2 en las siguientes ramas, y si los encuentra, bórrelos.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

5) Busque la siguiente clave, y borre la carpeta .DL si esta existe:

HKEY_CLASSES_ROOT\.dl

6) Salga de REGEDIT (Registro, Salir).

7) En Windows 95 y 98, ejecute desde Inicio, Ejecutar: SYSEDIT y pulse Enter. En Windows Me, utilice el bloc de notas y edite los archivos SYSTEM.INI y WIN.INI. En ambos casos, proceda de la siguiente manera:

7a) En WIN.INI, borre la referencia al trojan en la siguiente sección (si apareciera el nombre del trojan)

[windows]
run=MSREXE.EXE

debería quedar como:

[windows]
run=

7b) En SYSTEM.INI, borre la referencia al trojan en la siguiente sección (si apareciera el nombre del trojan), y DEJE SOLO "EXPLORER.EXE"

[boot]
shell=Explorer.exe MSREXE.EXE

debería quedar como:

[boot]
shell=Explorer.exe

8) Grabe los cambios en ambos casos, y reinicie Windows.

9) Utilice Inicio, Buscar, Archivos o carpetas, para buscar y borrar, los nombres de archivos que corresponden al trojan (tomados en el paso 2).

Si recibe un error que le impide borrarlos, es porque no ha llevado a cabo correctamente los puntos anteriores, y el trojan aún está activo. Repita los pasos 1 a 9 e inténtelo de nuevo.

Finalmente, si lo desea, vuelva a cambiar la extensión real a REGEDIT.

Desde una ventana MS-DOS, teclee:

REN REGEDIT.COM REGEDIT.EXE

Fuente: McAfee, Dark-e, Symantec


Ver también:
04/dic/99 - Trojan: SubSeven 2.1
12/dic/00 - Trojan: Pillapass. Simula ser un robador de contraseñas
21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.
11/mar/01 - Trojan.SubSeven.2.2. Ultima versión del peligroso troyano

 

Copyright 1996-2000 Video Soft BBS