| |
VSantivirus No. 1485 Año 8, viernes 30 de julio de 2004
Troj/Madtol.A. Permite acceso total al sistema
http://www.vsantivirus.com/troj-madtol-a.htm
Nombre: Troj/Madtol.A
Tipo: Caballo de Troya de acceso remoto
Alias: Madtol, ~Trojan:Win32/Delf.M, AFXrootkit, AFXrootkit.dll, AFXrootkit.gen, Backdoor.IRC.Ratsou.B, Backdoor.Trojan, Bck/Ratsou.A, Collected.L, destructive program, Hacktool.Rootkit, Hacktool/Rootkit.A, Madtol.A, Sandbox: W32/Malware, security risk named W32/AFXrootkit.A, security risk named W32/Madtol.A, security risk or a "backdoor" program, TR/MadTol.A, TR/Madtol.A.1, TR/Madtol.A.2, Troj/AFXroot-B, Troj/AFXroot-C, Troj/Delf-M, Troj/Madtol-A, TROJ_MADTOL.A, Trojan Horse, Trojan.Delf.M, Trojan.Madtol, Trojan.Madtol.A, Trojan.Unremote, Trojan.Win32.Madtol.a, Trojan.Win32.Madtol.A, Trojan.Win32.Madtol.d, Trojan:Win32/Delf.M, Win32.Afrootix, Win32.Afrootix dropper., W32/Madtol.A, Win32/Madtol.A, Win32:Trojan-gen. {Other}, Win32:Trojan-gen. {UPX!}
Fecha: 28/jul/04
Plataforma: Windows 32-bit
Se trata de un troyano del tipo "rootkit" que utiliza técnicas de ocultamiento (stealth).
Por naturaleza, un rootkit es una herramienta que permite acceder a un sistema como un usuario con todos los permisos (root), pero en estos casos es usada para ocultar las actividades de un atacante dentro del sistema, después que éste ha logrado ingresar a él. Deja puertas de entradas ocultas, que permiten a un intruso obtener el control total de los equipos infectados.
Una vez que el troyano se instala, el mismo puede ocultar la ejecución de cualquiera de los siguientes procesos:
- Grabar, copiar, leer, modificar o crear archivos
- Grabar, copiar, leer, modificar claves del registro
- Abrir, cerrar y utilizar cualquier puerto del sistema
El troyano suele instalar tres archivos en los equipos infectados, cuyos nombres son seleccionados al azar.
Las carpetas usadas para copiarse también puede variar, aunque generalmente corresponden a las carpeta de Windows, Windows\System o Windows\System32, cuya ubicación puede cambiar según el sistema operativo instalado.
Ejemplos:
c:\windows\system32\conf.com
c:\windows\system32\confmser.dll
c:\windows\system32\confmsur.dll
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El componente principal suele ejecutarse cada vez que se reinicia el sistema, creando una clave en el registro, como la siguiente (es solo un ejemplo):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Conf.com = c:\windows\system32\conf.com
Una vez que el sistema está infectado, no suelen verse síntomas notorios de su funcionamiento, debido a la naturaleza misma de la herramienta.
El troyano utiliza diversas técnicas, utilidades y librerías de terceros, para engancharse al sistema infectado, utilizando las APIs (Application Program Interface), un conjunto de rutinas empleadas para solicitar y efectuar servicios del sistema operativo. También las utiliza para ocultar toda su actividad.
Limpieza sugerida
Ejecutar un antivirus actualizado y eliminar las claves del registro creadas, relacionadas con los archivos eliminados por el antivirus.
Nota
La limpieza de este tipo de troyano, no pasa solo por quitar los archivos que él crea en el sistema, y evitar su ejecución en cada reinicio. Por la naturaleza de sus acciones (varias puertas abiertas en forma clandestina durante un periodo de tiempo indefinido, que permiten que uno o más intrusos hagan lo que deseen en el equipo infectado), la única forma de dejar totalmente seguro y limpio al sistema es borrar y reinstalar todo el sistema operativo y los programas necesarios.
Más información sobre esto:
Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar-reconstruir.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
