Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Plugbot. Pretende ser una nueva versión del Sub7
 
VSantivirus No. 565 - Año 6 - Jueves 24 de enero de 2002

 W32/Plugbot. Pretende ser una nueva versión del Sub7

Nombre: W32/Plugbot
Tipo: Caballo de Troya de Acceso Remoto
Alias: BackDoor-AAB, Backdoor.EEYE.b, Win32.Plugbot
Fecha: 22/ene/02
Tamaño: 10,240 bytes (server)
Fuente: McAfee

Este troyano ha sido visto en varios lugares undergrounds de descarga, y se presenta como la supuesta versión beta 2.3 del mítico SubSeven (Sub7). Sin embargo es un troyano que se conecta a un canal de IRC y aguarda de allí las ordenes.

Los archivos que supuestamente deberían ser el cliente y el editor del servidor para este troyano, también son señuelos, que instalan el mismo troyano anteriormente mencionado.

Una de las características del supuesto Sub7 2.3, sería la explotación de las vulnerabilidades en el UPnP (Universal Plug and Play) que Microsoft anunció (y corrigió) en su boletín MS01-059 (ver Referencias). Pero esto no parece funcionar (tal vez por ser parte del verdadero Sub7).

Por lo pronto la instalación de estos elementos no es correcta, por no ser los archivos que dicen ser.

Cuando ejecutamos este troyano, se realizan los siguientes cambios en el registro de Windows, para poder ejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows=c:\windows\system\Windows.exe

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Cómo borrar manualmente el troyano

Para borrar manualmente el troyano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee WINDOWS.EXE y pulse ENTER

3. Borre WINDOWS.EXE si aparece

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la siguiente entrada:

Windows         "c:\windows\system\Windows.exe"

7. Pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Referencias:

VSantivirus No. 545 - 4/ene/02
El FBI le da la razón a Microsoft en el caso del UPnP
http://www.vsantivirus.com/04-01-02b.htm

VSantivirus No. 543 - 2/ene/02
UPnP ... Otra vez... Uff!!
http://www.vsantivirus.com/02-01-02.htm

VSantivirus No. 538 - 28/dic/01
UPnP... Deshojando la margarita con Windows XP
(Menciona UnPnP, la utilidad de Steve Gibson)
http://www.vsantivirus.com/unpnp.htm

La utilidad UnPlug n'Pray (archivo de 22Kb)
http://grc.com/files/UnPnP.exe

UnPlug n'Pray (artículo)
http://grc.com/UnPnP/UnPnP.htm

VSantivirus No. 533 - 23/dic/01
Windows XP, las opiniones enfrentadas del FBI y Microsoft
http://www.vsantivirus.com/23-12-01.htm

VSantivirus No. 533 - 23/dic/01
Grave falla en los servicios UPnP (MS01-059)
http://www.vsantivirus.com/vulms01-059b.htm

VSantivirus No. 531 - 21/dic/01
Windows XP vulnerable al acceso no autorizado (MS01-059)
http://www.vsantivirus.com/vulms01-059.htm 


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS