Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: "Donald Dick", desde Rusia con amor
 
Lunes 27 de setiembre de 1999 (modificado 1 de noviembre de 1999).

Nombre: Trojan/DonaldDick

Esta vez desde Rusia, llega una nueva "herramienta" de administración remota, similar al Back Orifice, Back Orifice 2000, (BO2K) o el NetBus, y funciona en Windows 95, 98 y NT 4.0.

Permite el acceso completo al sistema, archivos, procesos y threads, al registro, y mucho más.

Donald Dick (DD), se presenta también como una herramienta, y sus autores, no se hacen responsable de los daños y perjuicios causados por el uso del mismo (SIC). Dice haber sido probado en estaciones de trabajo con Windows 95, 98 y NT 4.0, y "no ha sido probado en el 5, porque nosotros no lo hemos robado aún" (SIC).

Está diseñado para reemplazar a otros trojans que solo logran "confundir a los tontos", y para ser invisible a los actuales antivirus.

Consiste en dos partes, el cliente y el servidor. Para instalar el servidor en la computadora destino (o víctima), el usuario de la misma debe ejecutarlo allí. Esto puede lograrse como siempre, por medio de engaños. Todos los recursos de esa computadora, serán entonces controlados por el programa cliente, en poder del hacker. La conexión se realiza a través de protocolos TCP o SPX, tanto en una red de computadoras como en Internet. Usa por defecto el puerto 23476 (y 23477) para TCP/IP, y el 0x9014 (y 0x9015) para SPX, pero puede ser configurado para cualquier otro puerto.

Admite poseer una opción para colocar una contraseña al servidor, para restringir su acceso, suponiendo el usuario sepa que lo tiene en su máquina.

Bajo Windows9X, el servidor de DD se lanza al reiniciar Windows. Bajo Windows NT el servidor está cargado como un proceso de servicio, pero puede ser escondido para que no aparezca en "Panel de control", "Servicios".

Esta es la lista de acciones del DD:
  • Acceso total a los archivos del sistema. Permite visualizar, crear o remover directorios, borrar, renombrar, copiar, subir o bajar archivos, cambiar las fechas de los mismos, etc.
  • Procesos y threads: Permite visualizar, terminar, ejecutar programas, agregar, cambiar prioridades, suspender o reiniciar procesos e hilos (threads).
  • Registro: Acceso total al mismo, visualizar, crear, borrar keys y valores, setear valores, etc.
  • Sistema: Puede leer y cambiar la fecha del sistema. Apagar la computadora, reiniciar, desconectar a un usuario, suspender; leer la información del sistema y sus parámetros.
  • Windows: Tomar la lista de ventanas, cambiar configuración de las mismas, de los colores, enviar mensajes, etc.
  • Hardware: Puede leer y escribir en el CMOS (no funciona bajo Windows NT).
  • Keyboard: Simular pulsaciones, remapear el teclado, desconectar teclas, capturar lo que se teclea.
  • Bromas: Abrir o cerrar la bandeja de CD, apagar o encender el monitor, comunicarse con mensajes en pantalla, ejecutar archivos WAV.
  • Chat: Permite "chatear".

También permite averiguar passwords de salvadores de pantallas, BIOS y recursos compartidos.

El servidor puede ser renombrado.

Como quitarlo manualmente

Si usted es atacado por este trojan, estas son las técnicas para sacarlo manualmente del mismo.

En Windows 95/98, desde Inicio, Ejecutar, teclee REGEDIT y pulse Enter

Busque esta clave:

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDR\

Pinche sobre "VMLDR" una vez. A la derecha debe ver algo como:

StaticVxD = "vmldr.vxd"

En el tablero de la izquierda, pulse con el botón derecho sobre VMLDR, y seleccione "eliminar". Esto deberá quitar la carpeta entera de la sección de VxD.

Salga del REGEDIT y reinicie su PC.

Desde Inicio, Buscar, archivos o carpetas, busque "vmldr.vxd" sin las comillas. El archivo debe estar en C:\WINDOWS\System\vmldr.vxd y bórrelo (botón derecho, eliminar). También puede buscar y eliminar de esta manera, los siguientes archivos (si aparecen):

oleproc.exe
ersmgr.exe
pnpmgr.pci

También bórrelos luego de la papelera de reciclaje.

En Windows NT, debe editar esta clave de registro:

HKLM\SYSTEM\CurrentControlSet\Control\SesManager

Busque el campo BootExec, haga clic con el botón derecho sobre ella. Seleccione "Modificar" y busque "bootexec". A la izquierda deberá aparecer lo siguiente: 00 62 6F 6F 74 65 78 65 63.

Marque y borre solamente esos datos. Pinche en OK.

Busque en el registro las claves Pdata0 y Pdata1, y bórrelas.

Reincie el sistema y busque y borre estos archivos (generalmente dentro de \WINNT\SYSTEM32):

oleproc.exe
ersmgr.exe
pmss.exe
bootexec.exe

 

Copyright 1996-2000 Video Soft BBS