Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans

Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Troj/Backdoor.Krei. Peligroso troyano "invisible"
 
VSantivirus No. 939 - Año 7 - Sábado 1 de febrero de 2003

Troj/Backdoor.Krei. Peligroso troyano "invisible"
http://www.vsantivirus.com/back-krei.htm

Nombre: Troj/Backdoor.Krei
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Krei, Troj/Krei, Krei
Fecha: 31/ene/03
Tamaño: 61,440 bytes
Plataforma: Windows 32-bits
Puerto: 449

Este caballo de Troya, utiliza a su vez al troyano Slanret para ocultar su propia actividad maliciosa (ver "Troj/Slanret. Hace invisible a cualquier programa", http://www.vsantivirus.com/slanret.htm).

Una vez ejecutado, habilita para la escucha al puerto 449 (por defecto y configurable), dejando abierto el acceso total a cualquier atacante, lo que compromete seriamente la seguridad total del sistema infectado.

El troyano utiliza el archivo "Ipsechlp.dll". Se trata de una aplicación que abre varias instancias de si mismo al ejecutarse (multi-hilo, múltiples versiones del mismo troyano en memoria, ejecutándose en forma simultánea).

Cuando ello ocurre, el troyano crea de inmediato en memoria, un segundo hilo que a su vez utiliza al troyano Slanret para crear un servicio llamado "IPSEC Helper Service". 

Slanret usa el controlador "ierk8243.sys" para crear dicho servicio. Se trata de un protocolo que supuestamente sirve para facilitar la comunicación y el tráfico entre direcciones IP públicas.

Slanret crea un archivo que no es identificado como malicioso, al que llama "Mp437bba8e". Este archivo le permitirá al "Krei" engancharse a muchos otros servicios, así como llevar a cabo funciones y procesos críticos de Windows y recibir cualquier serie de instrucciones o comandos del intruso.

Una manera de protegerse del ataque es la instalación de un cortafuegos que bloqueé el puerto 449 (TCP y UDP). Para un usuario doméstico, el ZoneAlarm puede ser una de las opciones más sencillas y efectivas de implementar, aún sin poseer experiencia. Más información en: "Cómo configurar Zone Alarm 3.x", http://www.vsantivirus.com/za.htm.

Debido al uso del troyano Slanret, todas las actividades que este troyano realice estarán ocultas, no pudiendo ser vistas. Ello incluye archivos, claves de registro, y todos los procesos involucrados. Una vez que Slanret haya sido eliminado, todo ello volverá a ser visible.

Más información sobre el troyano Slanret:

Troj/Slanret. Hace invisible a cualquier programa
http://www.vsantivirus.com/slanret.htm


IMPORTANTE:

Si este troyano ha sido instalado en su computadora, un atacante remoto tendrá acceso total a la misma. Por ese motivo es imposible garantizar la integridad del sistema luego de la infección. Esto es más crítico en el caso de estar conectado a una red. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles):
  • Robo o cambio de contraseñas o archivos de contraseñas.
  • Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras.
  • Instalación de programas que capturen todo lo tecleado por la víctima.
  • Modificación de las reglas de los cortafuegos instalados.
  • Robo de números de las tarjetas de crédito, información bancaria, datos personales.
  • Borrado o modificación de archivos.
  • Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima.
  • Modificación de los derechos de acceso a las cuentas de usuario o a los archivos.
  • Borrado de información que pueda delatar las actividades del atacante (logs, etc.).

Estas acciones solo se indican como ejemplo, pero de ningún modo deben tomarse como las únicas posibles.

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS