VSantivirus No. 946 - Año 7 - Sábado 8 de febrero de 2003
Troj/Backdoor.Optix.50. Finaliza procesos antivirus
http://www.vsantivirus.com/back-optix-50.htm
Nombre: Troj/Backdoor.Optix.50
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Optix.50, Backdoor.Win32/Optix.5_0, Backdoor.Optix.05
Variantes: Backdoor.Optix.04.c, Backdoor.Optix.04.b, Backdoor.Optix.04, Backdoor.Optix,
Troj/Backdoor.Optix.04, Backdoor.Optix.04, Backdoor.Optix.04.d, BackDoor-RS
Plataforma: Windows 32-bits
Fecha: 7/feb/03
Tamaño: 67,584 bytes
Por defecto, este troyano, una vez activo en la computadora de la víctima, queda a la escucha en el puerto 5151.
Posee la habilidad de terminar o cerrar varios procesos relacionados con programas antivirus y herramientas de seguridad.
Su presencia en una computadora, implica un alto riesgo para la seguridad y privacidad del usuario infectado.
Al ejecutarse, el troyano examina la memoria en busca de un debugger (herramienta que permite analizar el funcionamiento de un programa), o alguna ventana de Windows con cualquiera de los siguientes textos incluidos en sus títulos:
DebugView
DeDe
ExeSpy
FrogsICE
Memory Dumper
Memory Editor
MemoryMonitor
MEMSPY
ProcDump32
ResSpy
Cualquier coincidencia (o la presencia de un debugger), hacen que el troyano reinicie la computadora inmediatamente.
También intenta cerrar toda ventana cuyo título contenga alguna de las siguientes cadenas de textos:
advanced application protection
Advanced Registry Tracer
agnitum outpost
amon
anti-trojan
antitrojan
anti-virus
antivir
antiviral
antivirus
ants -
ants guard
avg
avtray
bitdefender
blackice
bullguard
centinel vxd
command antivirus
deerfield
diamondcs
dvpinit
etrust
File Monitor
free online scan
f-secure
gis terminet
inoculate
instant updater
intercheck
internet security
kaspersky
kerio
liveupdate
lockdown
look ''n'' stop
luke filewalker
mcafee - virus
mcafee firewall
mcafee updater
mcafee_fwclientclass
mcafeeactilogservice
Memory Doctor
moosoft
murphy
nai_vs_stat
neowatch
nod32
norman internet
norman virus
norton antivirus
norton systemworks
nvc
online virus scan
onlineupdate
Open Tray
outpost service
panda antivirus
pc-cillin
pcinternet patrol
personal firewall
pestpatrol
privatefirewall
rav
Registry Monitor
Regmon
RegMonEx
regsnap
rtvr -
scan online
schscnt
secureup
SMU Winspector
sophos
superdat
surfsecret
sygate
system scan
Task Manager
tau monitor
tauscan
tcactive
tcmonitor
tds
test is running
the cleaner
trojanhunter
vexira
virus list
virusmd
virusscan
virusscansynchmgrclass
vshieldwin_class
Window Detective
wxr95
zonealarm
También intenta finalizar cualquier proceso en memoria relacionado con algunos de los siguientes ejecutables:
cclaw.exe
cmgrdian.exe
defwatch.exe
fslaunch.exe
ntvdm.exe
pccclient.exe
pop3scan.exe
pop3trap.exe
rulaunch.exe
zlh.exe
Si la computadora infectada corre Windows NT, 2000 o XP, también intenta finalizar cualquiera de los siguientes servicios que se estuvieran ejecutando:
alerter
AVPCC
AvxIni
BackWeb Client - 7681197
BlackICE
dvpapi
dvpinit
F-Secure Gatekeeper Handler Starter
FSMA
KAVMonitorService
McAfee Firewall
navapsvc
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
NProtectService
nvcoas
NVCScheduler
NWService
OutpostFirewall
PASSRV
PCCPFW
PersFW
ravmon8
schscnt
sharedaccess
SmcService
SweepNet
SWEEPSRV.SYS
Tmntsrv
VexiraAntivirus
vsmon
XCOMM
El troyano se copia a si mismo en la siguiente ubicación:
C:\Windows\Olefiles\Server.exe
"C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
La siguiente clave es agregada al registro, para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RunProg = C:\Windows\System\server.exeadCurrentPwrScheme
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
RunProg = C:\Windows\System\server.exeadCurrentPwrScheme
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
Crea o agrega además las siguientes claves en el registro:
HKEY_LOCAL_MACHINE\Software\EES
HKLM\System\CurrentControlSet\Hardware Profiles\Current
\Software\Microsoft\windows\CurrentVersion\Internet Settings
EnableAutodial = 0
HKLM\Software\Microsoft\Active Setup\Installed Components
\{9EC0745F-CAD3-628A-48E9-02B9AFEC8E74}
StubPath = C:\Windows\System\server.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer
\User Shell Folders
Common Startup = C:\Windows\olefiless
Luego, envía una notificación a una dirección de ICQ, y queda a la espera de instrucciones remotas.
El troyano puede realizar las siguientes acciones:
- Enviar información del sistema infectado y de la red,
incluidas contraseñas, etc.
- Administra la instalación del propio troyano
- Descarga y ejecuta archivos
Variantes:
Nombre: Troj/Backdoor.Optix.04.c
Fecha: 23/oct/02
Puerto por defecto: 5151
Alias: Backdoor.Optix.50
Tamaño: 67,584 bytes
Plataforma: Windows 32-bits
Se copia en la siguiente ubicación:
C:\Windows\Olefiles\Winupdtr.exe
Crea los siguientes cambios en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
Common Startup = C:\Windows\olefiles
Esto hace que todo lo que esté en la carpeta "C:\Windows\olefiles" se ejecute al iniciarse Windows.
El troyano puede realizar las siguientes acciones:
- Enviar información del sistema infectado y de la red, incluidas contraseñas, etc.
- Administra la instalación del propio troyano
- Descarga y ejecuta archivos
Nombre: Troj/Backdoor.Optix.04
Fecha: 10/set/02
Alias: Backdoor.Optix.04, Backdoor.Optix.04.d, BackDoor-RS
Tamaño: 39,424 bytes
Puerto por defecto: 27379
Plataforma: Windows 32-bits
Finaliza antivirus y otros procesos en memoria.
Muestra el siguiente mensaje:
missing plugin 49587349
Se copia en las siguientes ubicaciones:
C:\Windows\Olefiles\Yahoo updater.com
C:\Windows\System\Tapisvc.sys
Crea las siguientes claves en el registro:
HKEY_LOCAL_MACHINE\SOFTWARE\EES
HKEY_LOCAL_MACHINE\Software\EES\OL0.4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
Common Startup = C:\Windows\olefiles
El troyano puede realizar las siguientes acciones:
- Enviar información del sistema infectado y de la red, incluidas contraseñas, etc.
- Administra la instalación del propio troyano
- Descarga y ejecuta archivos
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\Olefiles\Server.exe
C:\Windows\Olefiles\Winupdtr.exe
C:\Windows\Olefiles\Yahoo updater.com
C:\Windows\Olefiless
C:\Windows\System\server.exe
C:\Windows\System\Tapisvc.sys
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
RunProg
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
RunProg
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\EES
7. Pinche en la carpeta "EES" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Hardware Profiles
\Current
\Software
\Microsoft
\windows
\CurrentVersion
\Internet Settings
9. Pinche en la carpeta "Internet Settings" y en el panel de la derecha busque y borre la siguiente entrada:
EnableAutodial
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Active Setup
\Installed Components
\{9EC0745F-CAD3-628A-48E9-02B9AFEC8E74}
11. Pinche en la carpeta "{9EC0745F-CAD3-628A-48E9-02B9AFEC8E74}" y en el panel de la derecha busque y borre la siguiente entrada:
StubPath
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\explorer
\User Shell Folders
13. Pinche en la carpeta "User Shell Folders" y en el panel de la derecha busque y borre la siguiente entrada:
Common Startup
14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|