|
VSantivirus No. 1100 Año 7, Sábado 12 de julio de 2003
Troj/Backdoor.Migmaf.A. Troyano Proxy para sitio porno
http://www.vsantivirus.com/back-migmaf-a.htm
Nombre: Troj/Backdoor.Migmaf.A
Tipo: Caballo de Troya
Alias: Migmaf, Backdoor.Migmaf, Proxy-Migmaf
Fecha: 11/jul/03
Tamaño: 46,080 bytes
Plataforma: Windows 32-bit
Este caballo de Troya es el descripto en el artículo "Su computadora puede ser un sitio porno y usted lo ignora",
http://www.vsantivirus.com/ev-migmaf-trojan.htm
Es un troyano escrito en Microsoft Visual C++, y comprimido con la utilidad tElock v0.98, que posee capacidades de "Proxy reverso".
Esto es, un usuario solicita una página al servidor infectado, porque coincide el nombre de dominio con la dirección IP de ese servidor (esto es algo totalmente transparente para el usuario, quien solo teclea una dirección como "linkxxxsites.com").
El servidor infectado descarga la página del servidor maestro (controlado por un pirata informático). La dirección IP de este servidor maestro queda oculta. Finalmente, el servidor infectado muestra la página solicitada al usuario.
Cada 10 minutos el servidor de nombres controlado por el atacante, cambia las direcciones IP de cada dominio controlado, haciendo que la próxima solicitud de un usuario sea a otra dirección IP diferente.
El servidor normalmente contiene material pornográfico.
El troyano suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.
Cuando el archivo del troyano (que puede tener cualquier nombre), se ejecuta en la máquina de su víctima, examina la presencia de la siguiente clave del registro:
HKEY_CURRENT_USER\Keyboard Layout\Preload
Allí comprueba si el idioma del teclado instalado es ruso, y si lo fuera, deja de ejecutarse y no realiza ninguna otra acción.
Luego crea un mutex (semáforo que indica a otros procesos o al propio troyano, que ya está activo en memoria.
REQUEST_MANAGE_SUBSYSTEM
Modifica después el registro de Windows, para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Login Service = [nombre y ubicación del troyano]
Establece luego una conexión con el servidor maestro, controlado por el atacante. Para prevenir la identificación del servidor maestro, el troyano no se conecta directamente a una dirección IP, sino que crea varias combinaciones de octetos A+B+C+D al azar:
A = 78, 209, 216
B = 12, 128, 164
C = 55, 211, 216
D = 61, 187, 210
Envía luego información basura al puerto 80 del servidor de Microsoft, para comprobar la velocidad de conexión, y si el usuario posee banda ancha. Esta información es enviada al servidor maestro.
En los datos enviados al servidor de Microsoft por el gusano puede verse este texto:
disclaimer: www.microsoft.com used for
bandwidth speed testing only
En algunas muestras examinadas, el ejecutable del troyano se copiaba con el siguiente nombre y en la siguiente ubicación:
c:\windows\system32\Wingate.exe
La carpeta "System32" está en C:\Windows (Windows XP) o C:\WinNT (Windows NT y 2000), por defecto.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Login Service
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|