Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan/Jestro. Roba contraseñas y permite acceso remoto
 
VSantivirus No. 455 - Año 5 - Sábado 6 de octubre 2001

Nombre: Trojan/Jestro
Tipo: Caballo de Troya
Fecha: 1/oct/01

Este troyano es capaz de enviar contraseñas y otra información vital robada del sistema infectado, al creador del mismo.

Posee además una puerta trasera (backdoor) que puede permitir el acceso a un atacante a la máquina infectada.

Cuando el troyano es ejecutado (el usuario puede hacerlo engañado, suponiendo se trate de alguna utilidad inocente), el troyano crea y ejecuta estos archivos:

WIN32CFG.EXE
KEYBOARDS.EXE

También genera estos 3 archivos:

C:\Windows\System\KEYBOARDS.DLL
C:\Windows\System\KEYLOG.TXT
C:\Windows\KEYEYE.INI

Nota: en Windows NT la carpeta del sistema es C:\WinNT\System32.

También procede a compartir las unidades de disco de la C a la Z, y las oculta por medio del carácter reservado $ (C$, D$, etc.)

WIN32CFG.EXE es usado por el troyano para conseguir las contraseñas del sistema y enviarlas por correo electrónico al autor del troyano.

El archivo KEYEYE.INI contiene en formato texto, la dirección del servidor de correo, la dirección del autor, el asunto y otros datos necesarios para el envío del mensaje. El troyano se conecta al servidor mail.cn-s.net a través del puerto 25 (SMTP) y envía un correo a la dirección jester@cn-s.net.

El componente de puerta trasera o backdoor permite el acceso remoto al sistema.

Para eliminar el troyano de un sistema infectado, proceda de la siguiente manera:

1. Reinicie el sistema en Modo MS-DOS (o inicie desde un disquete).
2. Tipee CD WINDOWS y pulse enter.
3. Tipee DEL KEYEYE.INI y pulse Enter para eliminar dicho archivo.
4. Tipee CD SYSTEM y pulse enter.
5. Tipee DEL WIN32CFG.EXE y pulse Enter para eliminar dicho archivo.
6. Tipee DEL keyboards.exe y pulse Enter para eliminar dicho archivo.
7. Tipee DEL keyboards.dll y pulse Enter para eliminar dicho archivo.
8. Tipee DEL keyhook.dll y pulse Enter para eliminar dicho archivo.
9. Reinicie su máquina e inicie Windows.
10. Vaya a Inicio, Ejecutar... y tipee REGEDIT y pulse Enter.
11. Busque el valor

HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows\CurrentVersion\Network\LanMan.

12. Elimine todas las claves cuyo nombre empiece con "TOP-".

Para eliminarlo en WinNT/2000 siga los siguientes pasos:

1. Ejecute el administrador de tareas y termine el proceso "keyboards.exe" y "win32cfg.exe" haciendo click en él y luego en el botón Terminar Proceso.
2. Elimine desde Windows los archivos que se mencionan en los pasos del 3 al 8.
3. Reinicie Windows.
4. Siga los pasos del 10 al 12.

Ejecute uno o mas antivirus al día y elimine cualquier archivo que haya podido quedar infectado por el troyano.

Dado que un hacker puede haber robado contraseñas o tenido acceso más profundo al sistema, se recomienda un examen exhaustivo del mismo, así como el cambio de los passwords.


Fuente: VirusAttack!

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS