Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Troj.Orion. Troyano que utiliza la bandeja del sistema
 
VSantivirus No. 144 - Año 4 - Miércoles 29 de noviembre 2000

Nombre: Troj.Orion
Tipo: Trojan
Alias: TROJ_ORION, BackDoor-IF.svr, ORION, Backdoor.Dynod, Backdoor.Trojan
Tamaño: 27,136 Bytes

Este trojan, al ser ejecutado, despliega una interface de usuario, que permite generar un número de serie para la aplicación FRUITYLOOPS PRO.

Si se pincha en el botón [  About  ], una ventana con un mensaje es desplegada:

Keygen

Product Info:
Name….: FruityLoops Pro
URL……: http://www.fruityloops.com/
Contact OriON:
E-Mail…….: orion99@mail.com
IRC ERNet..: #OriON2000
Homepage.: http://orion.castlegardens.com

En el momento que este mensaje aparece, el trojan libera una copia de si mismo, el archivo SYSTRAY.EXE, en C:\WINDOWS y C:\WINDOWS\SYSTEM. El archivo original SYSTRAY.EXE (la aplicación Bandeja de sistema de Windows), es guardada en C:\WINDOWS\SYSTEM\UPDATES.

Este archivo es el servidor del trojan, el que recibirá las ordenes desde el cliente en forma remota a través de Internet. El cliente estará controlado por el atacante que intentará entrar a la PC infectada.

El trojan (ahora como SYSTRAY.EXE), se ejecuta como un servicio cada vez que se inicia Windows (que por defecto carga Systray como parte de sus procesos, aunque en este caso ejecuta al troyano). El trojan también ejecuta al verdadero Systray, sin alterar su normal funcionamiento.

Una vez lanzado, el trojan abre y se pone a la escucha por los puertos 1150 y 1151 alternativamente, hasta recibir una señal desde el cliente.

También libera un archivo UNDLL.EXE en C:\WINDOWS, que es similar a los anteriores, pero que está comprimido con la utilidad UPX v1.01.

Para limpiar el trojan, deberá ejecutar un antivirus actualizado, y recuperar el verdadero archivo SYSTRAY.EXE desde el CD de Windows, o con la utilidad SFC en Windows 98.

Se sugiere tener instalada la utilidad Zone Alarm, que evitará la acción de éste y otros troyanos.

Fuente: Trend Micro

 

Copyright 1996-2000 Video Soft BBS