Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/EggHead. Acceso remoto irrestricto en NT, 2000 y XP
 
VSantivirus No. 591 - Año 6 - Lunes 18 de febrero de 2002

 Troj/EggHead. Acceso remoto irrestricto en NT, 2000 y XP
http://www.vsantivirus.com/egghead.htm

Nombre: Troj/EggHead
Tipo: Gusano de acceso remoto
Alias: Backdoor.EggHead
Fecha: 11/feb/02
Plataforma: Windows NT, 2000 y XP solamente

Una vez activado, este troyano permite el acceso irrestricto a la computadora infectada, por parte de un atacante remoto vía Internet.

Solo funciona en entornos Windows NT, 2000 y XP, y hace uso del corazón de un BOT de IRC de uso gratuito.

Infecta múltiples tipos de archivos, pero una vez en el sistema, se copia en la carpeta identificada como %System% (C:\Winnt\System32 en Windows NT, 2000 y XP, por ejemplo), creando allí estos archivos:

Services.exe 
Pskill.exe 
B.bat 
Tcpsvcs.exe 
Good_client.exe

Algunos de los archivos que son usados por el troyano, no son maliciosos. Estos son parte de programas legítimos que son explotados por el troyano EggHead.

El troyano se carga a si mismo cada vez que la computadora se reinicia, agregando las siguientes claves y valores al registro:

---cut---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Events
Type dword:00000010
Start dword:00000002
ErrorControl dword:00000001
ImagePath %systemroot%\services.exe
DisplayName Events
ObjectName LocalSystem
Description Logs event messages issued by system,. Event Log reports contain information that can be useful in diagnosing problems. Reports are viewed in Event Viewer.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Events\Parameters
FireStarter C:\WINNT\system32\svchost\inetinfo.exe 254.dll
WorkingDir C:\WINNT\system32\svchost
ProcessMonitorEnabled dword:00000001
ProcessMonitorFrequency dword:00001388
ProcessAutoRestart dword:00000001
ProcessAffinityMask dword:00000000
ProcessPriority dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr
DependOnService RpcSs.TcpI
Description Allows a remote user to log on to the system and run console programs using the command line.
DisplayName Telnet
ErrorControl dword:00000001
ImagePath %SystemRoot%\system32\tlntsvr.exe
ObjectName LocalSystem
Start dword:00000003
Type dword:00000010

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr\Enum
0 Root\\LEGACY_TLNTSVR\\0000
Count dword:00000001
NextInstance dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0
AllowTrustedDomain dword:00000001
DefaultDomain .
DefaultShell %SystemRoot%\system32\cmd.exe /q /k 
LoginScript %SystemRoot%\system32\login.cmd
MaxConnections dword:0000003f
MaxFailedLogins dword:00000003
NTLM dword:00000000
TelnetPort dword:00001a8e
AltKeyMapping dword:00000001
Termcap %SystemRoot%\system32\termcap

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\Performance
NumThreadsPerProcessor dword:00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer dword:00000000
AutoShareWks dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteRegistry
Start dword:00000003
Type dword:00000020

---cut---

Método de limpieza manual del troyano

Para limpiar un sistema infectado por EggHead, borre los archivos descargados por el troyano, y también borre los cambios hechos en el registro, con los siguientes pasos:

1. Ejecute uno o más antivirus al día y borre todos los archivos identificados como EggHead.

2. Usando el Explorador de Windows borre la carpeta "Vchost" (C:\Winnt\System32\Vchost) y todo su contenido.

3. Borre en C:\Winnt\System32 los siguientes archivos:

Services.exe 
Pskill.exe 
B.bat 
Tcpsvcs.exe 
Good_client.exe

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SYSTEM
ControlSet001
Services

6. Borre la carpeta "Services"

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services

8. Borre bajo "Services", las carpetas:

Events
lanmanservers

9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
TelnetServer

10. Borre la carpeta "TelnetServer"

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Glosario:

BOT - Copia de un usuario en un canal de IRC, generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea, y sin nuestra intervención directa.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS