Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Pillapass. Simula ser un robador de contraseñas 
 
VSantivirus No. 157 - Año 4 - Martes 12 de diciembre de 2000

Nombre: Pillapass v1.13
Tipo: Trojan de backdoor
Observaciones: Modificación del SubSeven
Tamaño: 382,883
Fecha: 2/10/00

Este trojan está basado (construido) con el conocido SubSeven o Backdoor-g, del que existen múltiples versiones y variantes, al ser su código modificable. Simula ser un programa de uso ilegal, que asegura poder conseguir los passwords de los usuarios registrados a los canales del irc-hispano.

Cuando se corre por primera vez, se produce un error por la falta de una librería, sin embargo el trojan modifica el archivo WIN.INI para ejecutarse en cada nuevo reinicio de Windows. Para ello crea la línea: RUN=PBTXLDOIT.EXE. Al mismo tiempo, el trojan se copia al directorio C:\WINDOWS.

Luego de ello, en cada inicio de Windows, el trojan permanecerá en memoria, y cuando se produce una conexión a Internet, se intentará conectar a un servidor de ICQ, informando al autor de esto, a través de un mensaje. A partir de ese momento, el atacante podría tomar el control de nuestra PC, obteniendo cierta información o modificando datos, descargando archivos, etc.

Un cortafuegos (firewall), será capaz de detectarlo. Recomendamos el ZoneAlarm, de uso gratuito, que usted encontrará en nuestro sitio.

Al menos tres antivirus son capaces de identificarlo a la fecha, como variante del Backdoor-g o SubSeven:

Sophos: Troj/Sub7-21dc8
McAfee: BackDoor-G2.svr.gen
AVP: Backdoor.SubSeven.21.Muie.a

Para eliminarlo manualmente, borre la línea "run=pbtxldoit.exe" en el archivo WIN.INI.

Luego busque y elimine los archivos: PILLAPASS.EXE y PBTXLDOIT.EXE (ambos son el propio trojan, de un largo de 382,883 bytes).


Ver también:
 04/dic/99 - Trojan: SubSeven 2.1
 03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
 21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
 29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.
11/mar/01 - Trojan.SubSeven.2.2. Ultima versión del peligroso troyano 		 

Copyright 1996-2000 Video Soft BBS