Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Ptakks.217. Troyano de acceso remoto en español
 
VSantivirus No. 514 - Año 6 - Martes 4 de diciembre de 2001

Nombre: Troj/Ptakks.217
Tipo: Caballo de Troya de Acceso Remoto
Alias: TROJ_PTAKKS.217, Backdoor.Ptakks.217, Bck/Ptakks.217, Backdoor-RC trojan, TROJ_PTAKKS.B
Tamaño: 192,512 bytes (servidor), 724,992 bytes (cliente)
Origen: España
Fecha: 23/nov/01

Troyano de origen español, que permite el control remoto de una computadora infectada.

El cliente, es usado por un atacante remoto, para conectarse al server, que reside en la computadora seleccionada como víctima.

El servidor puede ser generado por el atacante, pudiendo tener cualquier nombre y los mensajes que presenta a la víctima que lo recibe y ejecuta, pueden ser totalmente modificados por el atacante.

Cuando la víctima acepta y ejecuta este último archivo, el troyano se copia en el directorio c:\windows\system, con el nombre de WINZIPV32.EXE (puede copiarse también como WINZIPV16.EXE).

Se trata de un caballo de Troya en español, que utiliza protocolos UDP en lugar del clásico TCP.

El protocolo TCP (Transport control Protocol), es el estándar para el transporte de datos, ya que implementa características (entre otras) como las de permitir controlar el orden de los paquetes recibidos (los datos en Internet viajan en pequeños trozos, llamados paquetes), y el programa que maneje estos datos no debe preocuparse más que de recibir o enviar la información.

Con el protocolo UDP (Universal Data Packet), los diferentes paquetes pueden llegar a nuestra máquina desordenados y duplicados, debiendo responsabilizarse el programa encargado de manejar estos datos de ignorar los repetidos y solicitar los que faltaran. Esto hace más compleja la programación.

PTAKKS utiliza UDP, con la intención de dificultar su presencia. Pero como este protocolo no está previsto para el transporte de archivos, los mismos deben ser de pequeño tamaño.

El servidor (el programa que se ejecuta en la computadora de la víctima) puede ser configurado de modo de ser totalmente personalizado, y entre sus acciones, cuenta con la posibilidad de notificar al atacante (que ejecuta la parte cliente del troyano), vía E-mail o ICQ, la dirección IP de la víctima, cada vez que esta se conecta.

Por defecto, la víctima es engañada al recibir el archivo del troyano (la parte servidor), y al ejecutarlo, pensando se trate de alguna aplicación inocente, puede recibir un mensaje como este:

WinZip
Cannot open file it does not appear to be a valid archive. 
If this file is a part of a ZIP format backup set, insert 
the last disk of the backup set and try again. Please press 
F1 for help.

Pero el mensaje puede ser configurado por el atacante, pudiéndose presentar cualquier otro.

Si se configura para ello (o por defecto), también modifica el registro para poder ejecutarse en cada reinicio del sistema.

Algunas acciones disponibles

  • Comprobación de versiones anteriores instaladas.
  • Cerrar el troyano.
  • Quitarlo o volver a instalarlo.
  • Obtener información del sistema infectado.
  • Obtener claves, nombre de usuario, etc.
  • Reiniciar, resetear, apagar o congelar la computadora.
  • Buscar, listar, borrar, renombrar, copiar y crear archivos y directorios.
  • Ejecutar archivos, incluso sin el conocimiento del usuario (en segundo plano).
  • Bloquear el teclado o el ratón.
  • Capturar las teclas pulsadas.
  • Obtención de todos las claves del usuario almacenados en el sistema, incluyendo las guardadas con la opción "Recordar contraseña".
  • Obtención de las claves del mIRC o IRCAP.
  • Hacer que se muevan todas las ventanas que se tengan abiertas a otras posiciones, al azar.
  • Visualizar las tareas y aplicaciones que se están ejecutando en la computadora de la víctima, y eliminar procesos activos (CTRL+ALT+SUPR).
  • Bloqueo de las teclas CTRL+ALT+SUPR.
  • Cambiar el título a todas las ventanas.
  • Mover, esconder, cerrar, bloquear y desbloquear ventanas.
  • Convertir el escritorio en un "puzzle", cuyas piezas se desplazarán en todas direcciones.
  • Mover el contenido de la pantalla del monitor en forma horizontal o vertical.
  • Esconder o mostrar el menú de Inicio.
  • Mover el puntero del ratón.
  • Generar una "pantalla azul de la muerte" y bloquear el PC.
  • Generar "beeeps" en el parlante de la PC.
  • Encender la luz de la disquetera.

En su código, el troyano incluye estos textos (entre otros): 

Compilado en Valencia el Sun Nov 18 18:03:14 2001

Copyleft © XAN & Quovadis 2000

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm

Instrucciones para removerlo manualmente

1. Ejecute un antivirus actualizado

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

4. Busque la referencia al archivo WINZIPV32.EXE (o WINZIPV16.EXE), y borre la clave en la ventana de la derecha con la tecla SUPR o DEL. Conteste afirmativamente la pregunta que saldrá.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su PC (Inicio, Apagar el sistema, Reiniciar)

7. Busque (Inicio, Buscar, Archivos y carpetas) y borre WINZIPV32.EXE o WINZIPV16.EXE.

8. Ejecute un antivirus actualizado

Referencias:

VSantivirus No. 198 - 22/ene/01
Trojan: Win32.Ptakks. Troyano en español
http://www.vsantivirus.com/ptakks.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS