Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

IRC/Smallfeg. Troyano de acceso remoto a través del IRC
 
VSantivirus No. 582 - Año 6 - Sábado 9 de febrero de 2002

 IRC/Smallfeg. Troyano de acceso remoto a través del IRC
http://www.vsantivirus.com/smallfeg.htm

Nombre: IRC/Smallfeg
Tipo: Caballo de Troya de acceso remoto (IRC)
Alias: Irc-Smallfeg, TROJ/Smallfeg.IRC
Plataforma: Windows NT, 2000 y posiblemente XP
Fecha: 7/feb/02
Tamaño: 44,032 bytes (19,968 bytes el servidor)
Fuente: Network Associates

Se le llama "DROPPER" (cuentagotas), a todo archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".

El troyano Smallfeg puede llegar a nuestro sistema dentro de un "dropper", siendo el que se ha reportado, un archivo que simula optimizar la performance de nuestro módem: ModemSpeedEnhancer.Exe de 44,032 bytes.

Cuando se ejecuta en una máquina corriendo Windows NT o 2000 (y posiblemente XP), el dropper crea la carpeta %WINDIR%\CACHE (C:\WinNT\CACHE por ej.). Luego libera allí al archivo SVCHOST.EXE, y luego lo ejecuta como un proceso de Windows.

SVCHOST.EXE es el servidor del troyano, de 19,968 bytes.

Si en cambio se ejecuta bajo Windows 9x y Me, el dropper es totalmente inofensivo, ya que en ningún momento libera código alguno.

Una vez el troyano se ejecuta como un proceso de Windows, se libera también el archivo JUPE.DLL en la misma carpeta \CACHE de 52 bytes aproximadamente. Este segundo archivo contiene una pequeña cantidad de código encriptado (50 bytes), lo que posiblemente se trate de información sobre la máquina infectada.

El troyano intenta establecer conexión a través del puerto 6667 a 22 servidores de IRC remotos, todos con el dominio .undernet.org. Por ejemplo:

graz2.at.eu.undernet.org 
haarlem.nl.eu.undernet.org 
London.uk.eu.undernet.org

Si se establece una conexión, el troyano intentará unirse a un canal de chat específico, usando como nick un nombre formado por dos palabras guardadas en su servidor, SVCHOST.EXE (gold, plat, fat, bomb, hehe, goal).

Han sido detectados numerosos clientes conectados a este canal, lo que supone máquinas infectadas.

Un examen del archivo SVCHOST.EXE revela la existencia de varios comandos utilizados en IRC:

.HALO
.INFO
.PACKET
.RAW
.QUIT
.REHASH
.KILL
.NICK
.JUPESTAT
.JUPE
.DOWNLOAD
.PROGRESS
.SHELL

El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "Smallfeg", etc.

Alternativamente, borre los archivos %WINDIR%\CACHE\SVCHOST.EXE y %WINDIR%\CACHE\JUPE.DLL (%WINDIR% representa el nombre y ubicación de Windows, por ej: C:\WinNT)

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm


Glosario:

IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS