Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Intruzzo.A. Caballo de Troya del tipo Backdoor
 
VSantivirus No. 660 - Año 6 - Domingo 28 de abril de 2002

 Troj/Intruzzo.A. Caballo de Troya del tipo Backdoor
http://www.vsantivirus.com/intruzzo.htm

Nombre: Troj/Intruzzo.A
Tipo: Caballo de Troya de Acceso remoto (Backdoor)
Alias: BKDR_INTRUZZO.A, Backdoor.Intruzzo, Backdoor.Intrzo.A, W32/Intruzzo.1_0, BackDoor-ADM
Fecha: 27/abr/02
Plataforma: Windows 
Tamaño: 263,168 bytes (servidor), 999,424 bytes (cliente)

Se trata de una "herramienta" de hackeo, escrita en Visual Basic. Consta de dos componentes (el servidor y el cliente).

El servidor es enviado por cualquier método válido (adjunto a un mensaje, bajo engaño, descarga de sitios Web donde simula ser una utilidad, etc.) a la presunta víctima. Esta parte del troyano se autoinstala y habilita el acceso a la máquina infectada por parte de un atacante en forma remota (por la "puerta trasera" o "backdoor"), quien utiliza para controlar al programa (y eventualmente a la máquina de la víctima), la parte cliente del troyano.

Cuando el servidor es ejecutado (generalmente por la acción del propio usuario, quien suele ignorar se trata de un troyano), el mismo se copia en el directorio System de Windows con un [nombre] al azar:

C:\WINDOWS\System\[nombre].EXE

También se agrega en el registro, para poderse autoejecutar en los inicios subsiguientes de Windows.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft Syscheck" = C:\WINDOWS\System\[nombre].EXE /s

El parámetro /s lanza el servidor en modo silencioso, dificultando su detección. En la primera ejecución en el equipo infectado, el troyano muestra una ventana de diálogo minimizada con el título 'Unknown GUY' y la imagen de un hombre caminando por toda la pantalla:

El troyano muestra una ventana de diálogo minimizada con el título 'Unknown GUY' y la imagen de un hombre caminando por toda la pantalla

El servidor utiliza el puerto 80 (usado normalmente para páginas HTTP), para enviar un correo electrónico con datos del sistema atacado (dirección IP de la máquina infectada, número de puerto de ingreso abierto, etc.), al atacante. Utiliza para ello la librería WWPMsg.dll.

Inicialmente, el troyano se coloca a la escucha en el puerto 22784 (2/27/84 es la fecha del cumpleaños del autor), quedando a la espera de las ordenes remotas desde el cliente, pero puede abrir cualquier otro puerto.

Por su parte, el atacante utiliza la parte cliente del troyano para tomar el control total del sistema, y realizar acciones como las siguientes (esta es solo una muestra de todas las posibilidades):

  • Abrir y cerrar la bandeja del CD ROM
  • Chatear con el usuario infectado
  • Abrir y leer los archivos de contraseñas (.PWL)
  • Apagar el sistema
  • Manejar el puntero del mouse y sus botones
  • Mostrar mensajes
  • Imprimir en la impresora
  • Capturar la pantalla remota
  • Obtener información completa del sistema
  • Escribir en el escritorio
  • Subir o descargar archivos
  • Ejecutar cualquier programa o archivo


Forma manual de eliminar el troyano

1. Actualice sus antivirus

2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

3. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que contenga una entrada como esta: "C:\WINDOWS\System\[nombre].EXE /s", donde [nombre] puede ser cualquiera. Pulse la tecla SUPR o DEL y conteste afirmativamente la pregunta de si desea borrar la clave.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Ejecute sus antivirus en modo escaneo para revisar todos sus archivos, y borre los archivos infectados (un troyano no puede ser "curado" pues todo él es el código maligno).



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS