|
VSantivirus No. 685 - Año 6 - Jueves 23 de mayo de 2002
Troj/Backdoor.Omed.B. Solo 3Kb y descarga otros troyanos
http://www.vsantivirus.com/omed-b.htm
Nombre: Troj/Backdoor.Omed.B
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Omed.B, TrojanDownloader.Win32.Smokedown
Fecha: 21/may/02
Tamaño: 3,738 bytes
Plataformas afectadas: Windows (todas)
Fuente: Symantec
Este caballo de Troya, cuando se ejecuta mediante engaños en nuestro PC (alguien puede hacernos creer se trata de una utilidad, etc.), descarga un archivo desde Internet y luego lo ejecuta sin nuestro consentimiento.
Por sus características, esto lo hace muy peligroso, ya que el autor puede descargar cualquier clase de programa maligno, virus o incluso otro troyano. Al momento de esta descripción, se conocen al menos dos troyanos del tipo que permiten el acceso remoto por la "puerta trasera" (backdoor), tomando el control de nuestro PC, que son descargados y ejecutados por el
Backdoor.Omed.B.
Otra cosa que lo hace peligroso es su pequeño tamaño (apenas unos 3Kb), y por lo tanto ideal para enviar por correo. Luego, al ejecutarse, puede descargar por si solo un troyano más grande.
Un ejemplo recientemente reportado de un mensaje que lo propaga, simula ser información del propio troyano proveniente de Symantec (esto no es así por supuesto). No obstante este ejemplo, es importante tener en cuenta que debido a las característica del troyano, puede ser cualquier clase de mensaje el que lo transporte a nuestro PC, si alguien lo hace en forma premeditada.
En este caso, el falso mensaje de Symantec, parece provenir de Australia:
De:
"Symantec Corporation" <support@symantec.com>
Asunto: Virus Hoax Warning
Texto: (contiene en inglés, la descripción ligeramente
modificada del conocido HOAX del JDBGMGR.EXE)
Cuando el usuario lee el mensaje, el troyano
Backdoor.Omed.B es descargado silenciosamente y luego ejecutado (este mensaje está manipulado para explotar una de las fallas del Internet Explorer que permite la ejecución de un adjunto por solo leer un mensaje, o al verlo en el panel de vista previa).
Lo primero que hace cuando se ejecuta en la computadora huésped, es copiarse a si mismo en el directorio de Windows con el nombre de
MSLINE32.EXE.
Ejemplo en Windows 9x, Me:
C:\Windows\Msline32.exe
Luego modifica el registro, para cargarse automáticamente en memoria en cada reinicio de la computadora infectada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runmsni = Msline32.exe
Después, si hay una conexión a Internet activa, descarga y luego ejecuta, un archivo cuyo nombre y ubicación en Internet ha sido previamente programado en su código.
El nombre del archivo puede ser cualquiera (por ejemplo ARCHIVO.TXT), pero siempre será un ejecutable a pesar de la extensión (en el ejemplo, la de un archivo de texto).
El archivo que pretende descargar en la versión actual del troyano, contiene a su vez otros dos caballos de Troya, que permiten el acceso remoto clandestino a la computadora atacada una vez que son ejecutados por el propio
Backdoor.Omed.B. Estos troyanos son identificados por cualquier antivirus actualizado.
Note que se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), aunque puede estar incluido premeditadamente en un mensaje que se ejecute solo (como vimos en el ejemplo del falso reporte de Symantec comentado más arriba). También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.
Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
IMPORTANTE:
Si un troyano ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Esto es más crítico en caso de tenerla conectada a una red. Por esta razón es imposible garantizar la integridad del sistema luego de la infección. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles):
- Robo o cambio de contraseñas o archivos de contraseñas.
- Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras.
- Instalación de programas que capturen todo lo tecleado por la víctima.
- Modificación de las reglas de los cortafuegos instalados.
- Robo de números de las tarjetas de crédito, información bancaria, datos personales.
- Borrado o modificación de archivos.
- Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima.
- Modificación de los derechos de acceso a las cuentas de usuario o a los archivos.
- Borrado de información que pueda delatar las actividades del atacante (logs, etc.).
Estas acciones solo se indican como ejemplo, pero de ningún modo deben tomarse como las únicas posibles.
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.
De cualquier modo, y sin olvidar las mencionadas previsiones, se puede sugerir el siguiente plan de acción para un intento de sacar el troyano en forma manual.
Reparación manual
Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Examine su sistema con uno o dos antivirus actualizados, y borre toda aparición del o los troyanos en algún archivo.
2. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Runmsni
Msline32.exe
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Es importante que tenga en cuenta, que si se ejecutó algún otro troyano a raiz de la acción del
Backdoor.Omed.B, se deberá seguir el procedimiento adecuado para la eliminación de ese troyano. La información podrá encontrarla en nuestro sitio
http://www.vsantivirus.com/
si utiliza el buscador allí disponible.
Notas
a. Cuando decimos usar más de un antivirus debemos tener en cuenta dos cosas. Una, que JAMAS debemos tener más de uno monitoreando en segundo plano. Solo usamos más de uno para una revisación (escaneo) normal por demanda (uno a la vez). Y segundo, que debemos desactivar momentáneamente todo proceso de monitoreo en segundo plano cada vez que procedemos a escanear un equipo. En todos los casos, si su PC está conectado a una red, desconéctelo físicamente de la misma hasta haber realizado el proceso de escaneo en todas las máquinas.
b. Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
c. Recomendamos instalar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|