Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Small.h. Descarga y ejecuta al troyano IRC.BlackRat
 
VSantivirus No. 771 - Año 6 - Domingo 18 de agosto de 2002

 Troj/Small.h. Descarga y ejecuta el troyano IRC.BlackRat
http://www.vsantivirus.com/small-h.htm

Nombre: Troj/Small.h
Tipo: Caballo de Troya
Alias: BackDoor.BlackRat.154, TrojanDropper.Win32.Small.h, Downloader-AR
Fecha: 12/jul/02
Tamaño: 4,608 bytes
Plataforma: Windows 32-bits

Se trata de un troyano cuya misión es conectarse a Internet e intentar la descarga e instalación de otro troyano llamado Troj/IRC.BlackRat (Backdoor-AIK).

El troyano posee solo 4 Kb, ya que está comprimido con la utilidad PE-Pack.

Aunque puede ser descargado de sitios maliciosos, o enviado premeditadamente por algún atacante, ha sido reportado en algunos mensajes de correo no solicitado (spam), con las siguientes características:

De: natali@mail.[etc.]
 Asunto: my photo =)

 Texto:
Hi, here is the photo you asked for.
-- 
Best regards,
Natali mailto:natali@mail.[etc.]

 Datos adjuntos: photo.exe

Cuando el troyano se ejecuta en la computadora atacada (doble clic del propio usuario), si hay una conexión activa, intentará descargar de Internet un archivo llamado BOT.EXE.

Este archivo es otro troyano, identificado por algunos antivirus como Troj/IRC.BlackRat (Backdoor-AIK).

Luego de la descarga, Troj/Small.h ejecutará al nuevo troyano, Troj/IRC.BlackRat. Este crea un archivo X32AFX.EXE en la carpeta System de Windows:

C:\Windows\System\x32afx.exe

'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Luego el registro de Windows es modificado para que se ejecute el troyano en cada reinicio de la computadora:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
main_module = C:\Windows\System\x32afx.exe


Troj/IRC.BlackRat

Nombre: Troj/IRC.BlackRat
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.IRC.BlackRat.gen, W32.IRCBot.Gen, BackDoor-AIK
Fecha: 12/jul/02
Tamaño: 23,552 bytes
Plataforma: Windows 32-bits

Este troyano no se ejecuta por si solo (hasta ser instalado), y si se ejecuta en forma directa, no hace nada en absoluto, debiendo utilizarse para ello un programa instalador, en este caso Troj/Small.h (Downloader-AR).

Después de que Troj/Small.h lo instala y ejecuta (copiándolo antes como X32AFX.EXE en la carpeta Windows\System), Troj/IRC.BlackRat queda a la escucha en el puerto TCP 1160, e intenta conectarse al servidor de origen ruso "relay.volga.ru:6667". Esta información es visible con el comando NETSTAT.

El troyano posee características que permiten a un atacante tomar el control remoto del sistema infectado, lo que compromete seriamente la seguridad de éste último.

El programa que lo instala, agrega las siguientes entradas al registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\System32

authstr = "deadcandance"
channel = "#fuzz"
hostname = ""
idle = "60000"
key = "mustdieinside"
master = "StillAlive"
nick = "X12050251fffbeb13"
pass = "fffbeb1312050251"
port = "57163"
remote = "195.144.192.123"
servername = "irc.volga.ru"
userinfo = "none"
username = "none"

Un programa tipo firewall (cortafuego) como el ZoneAlarm, detendrá y advertirá la conexión de estos troyanos con Internet, así como cualquier intento de acceder a nuestro sistema.

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

main_module

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\System32

5. Pinche en la carpeta "System32" y bórrela con la tecla SUPR.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS