Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/PSW.Johar. Troyano liberado por el D.I.R.T.
 
VSantivirus No. 619 - Año 6 - Lunes 18 de marzo de 2002

 Troj/PSW.Johar. Troyano liberado por el D.I.R.T.
http://www.vsantivirus.com/johar.htm

Nombre: Troj/PSW.Johar
Tipo: Caballo de Troya
Alias: DIRT, TROJ_PSW.JOHAR.A, Trojan.PSW.Johar, PSW.JOHAR, JOHAR
Fecha: 5/feb/02
Tamaño: 71,159 bytes

Este caballo de Troya roba información de la computadora infectada y lo envía al autor del mismo. Estos datos son nombre de la computadora, dirección IP y contraseñas.

En setiembre de 1998, advertíamos de este troyano, llamado D.I.R.T. (siglas para Data Interception by Remote Transmission).

El mismo parece estar disponible solo para agentes de la ley, militares y organismos gubernamentales.

D.I.R.T. actúa como caballo de Troya, del mismo modo que programas como el Back Orifice, el NetBus o el SubSeven entre otros, y que una vez instalado en una computadora permite transmitir a quien lo controla un registro de todas las teclas pulsadas en ella, a través de un e-mail enviado secretamente.

El troyano JOHAR, parece ser parte del D.I.R.T. (ver artículo completo sobre el D.I.R.T.).

Cuando se ejecuta, el troyano libera la imagen JOHAR.JPG. Utiliza el visor instalado por defecto en la computadora infectada (Internet Explorer o un visor como IrfanView o ACDSEE por ejemplo), para abrir el archivo, mientras oculta el resto de sus actividades ilegales.

Cuando se ejecuta, el troyano libera la imagen JOHAR.JPG

Mientras el usuario ve la imagen, el troyano ya empezó su actividad copiándose a si mismo como DESKTOP.EXE en la carpeta de Windows. También libera un archivo llamado DESKTOP.DLL.

En Windows 9x, Me:

C:\Windows\DESKTOP.EXE
C:\Windows\DESKTOP.DLL

En Windows NT/2000:

C:\WinNT\DESKTOP.EXE
C:\WinNT\DESKTOP.DLL

Luego, agrega lo siguiente al registro de Windows, de modo de poder autoejecutarse en próximos reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Desktop = C:\Windows\DESKTOP.EXE

Luego, el troyano ejecuta el archivo recién creado, DESKTOP.EXE como un proceso separado y borra la primer copia que ejecutó.

La nueva versión del DESKTOP.EXE permanece en memoria obteniendo datos de la computadora como nombre de la misma, dirección IP y contraseñas.

Esta información es guardada en el archivo DESKTOP.LOG, archivo que luego es enviado vía SMTP a la dirección del presunto autor del virus: antropos@ematic.com


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por Troj/PSW.Johar, JOHAR o similar.

4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Windows\DESKTOP.EXE
C:\Windows\DESKTOP.DLL

C:\WinNT\DESKTOP.EXE
C:\WinNT\DESKTOP.DLL

5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada DESKTOP.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Referencias:

VSantivirus No. 619 - 18/mar/02
D.I.R.T. El Spyware desenmascarado en la red
http://www.vsantivirus.com/dirt.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS