|
VSantivirus No. 585 - Año 6 - Martes 12 de febrero de 2002
Troj/Rcserv. Permite que extraños controlen nuestro PC
http://www.vsantivirus.com/rcserv.htm
Nombre: Troj/Rcserv
Tipo: Caballo de Troya de Acceso Remoto
Alias: BackDoor-JY, Backdoor.RCServ, Backdoor/RCServ, TROJ_RCSERV
Fecha: 8/feb/02
Tamaño: 148,992 bytes
Plataforma: Windows
Fuente: Networks Associates
Este troyano, largamente distribuido, está formado como es típico, por un cliente y un servidor. El servidor es la parte del troyano que puede llegar a nuestra computadora. La regla es no confiarse jamás en ningún archivo descargado de Internet, enviado por alguien conocido vía e-mail (si es alguien desconocido, sencillamente lo borramos sin abrir), o copiado de CDs o disquetes, sin revisarlo antes con al menos dos antivirus al día.
Si ejecutamos el servidor del troyano, este modificará el registro para ejecutarse por si solo, en cada uno de los próximos inicios de Windows. Por supuesto, toda esta acción pasará inadvertida para nosotros.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Nombre del troyano = Directorio de ubicación del troyano
Como el servidor puede ser bautizado con cualquier nombre, las variables
"Nombre del troyano" y "Directorio de ubicación del
troyano" varían en cada caso.
Una vez en memoria el troyano se pondrá a la escucha en espera de instrucciones, a través de una conexión a Internet previamente establecida. Utiliza por defecto el
puerto 4128.
Cualquiera que posea la parte cliente del troyano, y que conozca u obtenga la dirección IP de nuestra máquina, puede conectarse con el servidor del troyano en nuestra computadora, y realizar cualquiera de estas acciones:
- Captura de la imagen en pantalla
- Cierre de Windows
- Crear proxies
- Desplegar cajas de mensajes
- Descargar archivos, desde y hacia nuestra computadora
- Editar el registro de Windows
- Hacer Flooding a otros sistemas (inundarlos de información)
- Manejar todo lo referente a archivos (mover, copiar, borrar)
- Escanear puertos de otros sistemas
- Obtener passwords del caché de Windows
- Obtener todo lo tecleado (la forma más fácil de capturar claves)
- Obtener las contraseñas de red, programas de correo, acceso a Internet, etc.
- Obtener información de nuestra computadora, como nombre de la PC, versión de Windows instalado, nombre de usuario, registro de fecha del último reinicio, tiempo de ejecución, procesador, memoria, etc.)
- Enviar correo electrónico
- Mostrar u ocultar el botón Inicio de la barra de tareas, y a la propia barra de tareas
Comenzar salvadores de pantalla
- Iniciar y detener servicios y procesos
- Intercambiar los botones del mouse (derecho por izquierdo, izquierdo por derecho)
- Tomar el control remoto de los dispositivos de consola (o sea del teclado y el ratón)
La configuración del troyano se guarda en la misma carpeta en que reside el servidor, en un archivo encriptado con la extensión
.DAT.
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo. Una vez activo, nuestra computadora se vuelve vulnerable a la acción de cualquiera en Internet, que tenga el cliente del troyano y tenga u obtenga nuestra dirección IP actual.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Cómo borrar manualmente el virus
Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
1. Ejecute un antivirus actualizado, copie el nombre del archivo detectado como
Troj/Rcserv en un papel.
2. Seleccione Inicio, Buscar, Archivos o carpetas
3. Teclee el nombre del archivo obtenido en el punto 1 y pulse ENTER
4. Borre ese archivo si aparece
5. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
7. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con el
nombre del archivo obtenido en el punto 1, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Notas:
Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|