|
VSantivirus No. 960 - Año 7 - Sábado 22 de febrero de 2003
Troj/Backdoor.Khaos. Puede borrar todos los archivos
http://www.vsantivirus.com/back-khaos.htm
Nombre: Troj/Backdoor.Khaos
Tipo: Caballo de Troya
Alias: BKDR_KHAOS.A, Backdoor.Khaos, Backdoor.Win32/Khaos
Tamaño: 59,904 bytes (servidor), 141,824 bytes (cliente)
Plataforma: Windows 32-bits
Este troyano permite el acceso a través de una puerta trasera (backdoor), a la máquina infectada, permitiendo tomar el control total de su víctima.
Utiliza por defecto el puerto TCP/6969, y se distribuye con el nombre de "Server2.exe" o cualquier otro (no tiene autopropagación). El troyano suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.
Está escrito en Microsoft Visual Basic 5 y requiere las librerías runtime de Visual Basic (ya instaladas en Windows 98SE y superiores).
Cuando el usuario, mediante engaños, ejecuta el cliente (el archivo enviado con el nombre de "Server2.exe", aunque puede tener cualquier otro), el troyano realizará las siguientes tareas:
Notificará la infección al atacante conectándose a la parte cliente a través de Internet.
Abre el puerto TCP/6969 y queda a la espera
Los comandos del atacante, desde el programa cliente le permitirán realizar todo tipo de acciones sobre el sistema infectado.
El troyano puede ser configurado con múltiples acciones, incluso muy dañinas) antes de ser enviado a su víctima, de ahí lo peligroso de este tipo de troyanos.
En ocasiones, incluso podría borrar todos los archivos del disco duro, al reiniciarse la computadora.
También puede configurarse una serie de mensajes falsos, con el objetivo de disimular su presencia, o simplemente como bromas.
Algunos de los mensajes predefinidos:
You have way too much porn on your hard drive.
Please delete some and restart your machine.
Error 12743:28576 FAT32
Damn you look like you got raped with the ugly
stick. Get away from the monitor.
Error 1K6h2a8o7s Khaos FAT32
Windows has detected a homosexual using this
computer. Please become straight, restart, and
try again.
Warning ! Windows has detected child pornography
in the directory C:\Windows\System\Colors\Porn\
and in directory C:\America Online 6.0a\download\
Please remove these files and restart your computer.
Khaos -N- Konfusion
Reparación manual
Para borrar manualmente el troyano, primero asegúrese de actualizar sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo, y ejecute sus antivirus. Borre el archivo identificado como el troyano.
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|