Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Sub7.21b. Control total y clandestino del PC
 
VSantivirus No. 569 - Año 6 - Lunes 28 de enero de 2002

Troj/Sub7.21b. Control total y clandestino del PC

Nombre: Troj/Sub7.21b
Tipo: Caballo de Troya de Acceso Remoto
Alias: TROJ_SUB7.21B
Fecha: 9/may/00
Plataforma: Windows
Tamaño: 381,347 Bytes

Este troyano es una herramienta clandestina utilizada para el acceso remoto a computadoras personales, estaciones de trabajo, etc.

Puede ser liberado por algunos virus como el VBS/Couple.A (VBS/LastScene.B).

Cuando este troyano se ejecuta, se crean dos archivos en la carpeta de Windows (C:\Windows por defecto):

C:\Windows\win32.exe
C:\Windows\windos.exe

El primero es una copia exacta del Sub7.21b, y el segundo una variante del SubSeven.

El troyano también modifica el valor de dos entradas del registro, que hacen que cualquier ejecutable esté asociado al troyano, lo que complica su eliminación:

HKCR\exefile\shell\open\command
HKLM\Software\CLASSES\exefile\shell\open\command

Para eliminar el troyano de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command  /c  Rename  C:\Windows\Regedit.exe  Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado)  windows.exe  "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (windows.exe) y dejar solo esto:

"%1" %*

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
CLASSES
exefile
shell
open
command

8. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado)  windows.exe  "%1" %*

9. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (windows.exe) y dejar solo esto:

"%1" %*

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Ejecute un antivirus actualizado, y borre todas las apariciones de archivos relacionados con Troj/Sub7.21b y/o Troj/Subseven, para estar seguro no ocurrirá una re-infección.

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Relacionados:

VSantivirus No. 569 - 28/ene/02
VBS/Couple.A (VBS/LastScene.B). Descarga dos troyanos
http://www.vsantivirus.com/couple-a.htm

VSantivirus No. 569 - 28/ene/02
Troj/OptixKill.A. Desactiva todos los antivirus presentes
http://www.vsantivirus.com/troj-optixkill-a.htm

VSantivirus No. 98 - 3/dic/99
Trojan: SubSeven 2.1
http://www.vsantivirus.com/sub721.htm

VSantivirus No. 148 - 3/dic/00
Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
http://www.vsantivirus.com/bg2.htm

VSantivirus No. 246 - 11/mar/01
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano
http://www.vsantivirus.com/sub722.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS