|
VSantivirus No. 794 - Año 6 - Martes 10 de setiembre de 2002
VSantivirus No. 1011, Año 7, Lunes 14 de abril de 2003
IRC/Flood. Ataques coordinados a través del IRC
http://www.vsantivirus.com/ircflood.htm
Nombre: IRC/Flood (varios)
Tipo: Caballo de Troya y Script de IRC
Alias: IRCFlood, IRC.Flood, IRC.Flood.C, BAT.IRCFlood.C, Win32.IRCFlood.C,
Win32.IRCFlood.D, Win32.IRCFlood.E,
mIRC/Shaz.Worm, BAT/IRCFlood, Backdoor.IRC.Flood, mIRC/IRCFlood.F
Fecha original: 10/set/03
Actualización: 14/abr/03
La mayoría de los antivirus reconocen como IRC.Flood una larga serie de programas maliciosos, que permiten tomar el control de una máquina o realizar un ataque destructivo a la misma, en forma remota y por medio de los canales de chat.
La mayoría utiliza el mIRC, uno de los clientes de IRC más utilizados, y perfectamente legítimo en su uso. Esto se combina con otros programas que esconden dichas aplicaciones, incluyendo al propio mIRC, para actuar clandestinamente.
Una vez instalados en la computadora a atacar, el mIRC es utilizado para producir un
BOT de IRC, y obtener el control de la máquina.
Los BOTS son copias de un usuario, generados casi siempre por un programa, y preparados para responder a ciertos comandos que se les envía, de modo de lograr múltiples acciones en forma simultánea, y sin ninguna intervención directa del usuario.
Cuando esta versión del mIRC se ejecuta, la computadora infectada se conecta a un determinado servidor IRC, quedando a la espera de los comandos necesarios.
Los BOTS también son popularmente utilizados para ocasionar ataques distribuidos de denegación de servicio (D.D.o.S). Estos ataques pueden utilizar cientos o hasta miles de computadoras, casi siempre actuando todas al mismo tiempo, y contra una misma víctima.
También pueden emplearse para otros tipos de ataques, escaneo de puertos, o para generar
SPAM o ataques del tipo FLOODING. Esto literalmente significa "inundar" con información basura al servidor atacado, con las consecuencias inmediatas de un deterioro notorio en su funcionamiento, y llegando en ocasiones a su colapso.
Por medio de los BOTS pueden crearse CLONES. Un
CLON también es una copia de un usuario en un mismo canal de IRC, lo que provoca un excesivo número de conexiones a un servidor. Esto se consigue conectándose varias veces al mismo servidor, lo que ocasiona muchas veces la caída del mismo.
Los BOTS pueden implementar una serie de funciones que comprometen la seguridad del sistema.
Algunas de estas funciones pueden ser:
- Obtener información de la computadora, tipo de conexión, velocidad del CPU, etc.
- Instalar o borrar archivos
- Ejecutar diferentes comandos en forma remota
- Actualizarse a si mismo con una versión con nuevas funciones
- Examinar la computadora en busca de otros troyanos de acceso remoto
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Acualizaciones:
25/may/03 - Cambio de nombre de IRCFlood a IRC/Flood
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|