Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/NetDevil. Troyano de Acceso remoto
 
VSantivirus No. 588 - Año 6 - Viernes 15 de febrero de 2002

 W32/NetDevil. Troyano de Acceso remoto
http://www.vsantivirus.com/netdevil.htm

Nombre: W32/NetDevil
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.NetDevil, Win32.NetDevil, Win32/NetDevil
Fecha: 13/feb/02

W32/NetDevil es un troyano con características de backdoor (acceso por la puerta trasera) que cuando es ejecutado se copia a si mismo dentro del directorio indicado por la variable %System% (C:\Windows\System o C:\Winnt\System32), el nombre del archivo a copiarse puede variar; ya que es elegido por el atacante.

Luego se agrega en las siguientes entradas del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Como vimos, el nombre del troyano, dependerá del que le ponga el atacante, pero el nombre del ejecutable será el nombre de la entrada en el registro. Por ejemplo:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Advapi = C:\Windows\System\Advapi.exe

La ejecución del troyano permite al atacante tener control remoto de la máquina infectada, y entre las acciones que puede llevar a cabo se encuentran las siguientes:

  • Control total sobre el sistema de archivos
  • Muestra de mensajes
  • Ejecución de archivos
  • Apagado y encendido del monitor
  • Almacenamiento de las secuencias de pulsaciones de teclas
  • Tomar el control del ratón
  • Abrir y cerrar la unidad de CD-ROM
  • Envío de archivos hacia la computadora infectada.
  • Descarga de archivos desde la computadora infectada.
  • Reinicio del Sistema Operativo
  • Detención de procesos en ejecución
  • Seleccionar el puerto usado para comunicarse (por defecto usa el puerto 901 para el control directo, 902 para  enviar los códigos de teclas pulsadas, y puerto 903 para la transferencia de archivos)

Para limpiar su PC

1. Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "NetDevil" por los antivirus (si no los borra éste).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Borre en la ventana de la derecha la clave con el mismo nombre del archivo identificado por los antivirus en el punto (1).

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Runservices

5. Borre en la ventana de la derecha la clave con el mismo nombre del archivo identificado por los antivirus en el punto (1).

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS