VSantivirus No. 569 - Año 6 - Lunes 28 de enero de 2002
Troj/Sub7.21b. Control total y clandestino del PC
Nombre: Troj/Sub7.21b
Tipo: Caballo de Troya de Acceso Remoto
Alias: TROJ_SUB7.21B
Fecha: 9/may/00
Plataforma: Windows
Tamaño: 381,347 Bytes
Este troyano es una herramienta clandestina utilizada para el acceso remoto a computadoras personales, estaciones de trabajo, etc.
Puede ser liberado por algunos virus como el VBS/Couple.A
(VBS/LastScene.B).
Cuando este troyano se ejecuta, se crean dos archivos en la carpeta de Windows
(C:\Windows por defecto):
C:\Windows\win32.exe
C:\Windows\windos.exe
El primero es una copia exacta del Sub7.21b, y el segundo una variante del
SubSeven.
El troyano también modifica el valor de dos entradas del registro, que hacen que cualquier ejecutable esté asociado al troyano, lo que complica su eliminación:
HKCR\exefile\shell\open\command
HKLM\Software\CLASSES\exefile\shell\open\command
Para eliminar el troyano de un sistema infectado
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión
.EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos
REGEDIT en forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename
C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej:
C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
exefile
shell
open
command
5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) windows.exe
"%1" %*
6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador
(windows.exe) y dejar solo esto:
"%1" %*
7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
CLASSES
exefile
shell
open
command
8. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) windows.exe
"%1" %*
9. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador
(windows.exe) y dejar solo esto:
"%1" %*
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Ejecute un antivirus actualizado, y borre todas las apariciones de archivos relacionados con
Troj/Sub7.21b y/o Troj/Subseven, para estar seguro no ocurrirá una re-infección.
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Relacionados:
VSantivirus No. 569 - 28/ene/02
VBS/Couple.A (VBS/LastScene.B). Descarga dos troyanos
http://www.vsantivirus.com/couple-a.htm
VSantivirus No. 569 - 28/ene/02
Troj/OptixKill.A. Desactiva todos los antivirus presentes
http://www.vsantivirus.com/troj-optixkill-a.htm
VSantivirus No. 98 - 3/dic/99
Trojan: SubSeven 2.1
http://www.vsantivirus.com/sub721.htm
VSantivirus No. 148 - 3/dic/00
Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
http://www.vsantivirus.com/bg2.htm
VSantivirus No. 246 - 11/mar/01
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano
http://www.vsantivirus.com/sub722.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
