Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Troj/Backdoor.OptixPro.13.C. Troyano de acceso remoto
 
VSantivirus No. 1311 Año 8, domingo 8 de febrero de 2004

 Troj/Backdoor.OptixPro.13.C. Troyano de acceso remoto
http://www.vsantivirus.com/back-optixpro-13c.htm

Nombre: Troj/Backdoor.OptixPro.13.C
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.OptixPro.13.C, Optix Pro 1.3, Troj/Optix Pro 1.3, Backdoor.OptixPro.13, Backdoor.Optix.Pro.13, Backdoor.W32/Optix Pro 1.3
Fecha: 6/feb/03
Variantes: Backdoor.OptixPro.13
Plataforma: Windows 32-bit
Puerto por defecto: 4001 (configurable)
Tamaño: 408,341 bytes (14,848 y 5,632)

Variante de Backdoor.OptixPro.13, una completa suite generador de troyanos.

Cuando el servidor se ejecuta en la máquina de la víctima, copia dos archivos en las carpetas correspondientes al directorio de Windows o de Windows\System, dependiendo de la configuración creada con el editor de la suite del troyano por parte del atacante. En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

También modifica las siguientes ramas del registro para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre 1] = [ubicación y nombre del troyano 1]
[nombre 2] = [ubicación y nombre del troyano 2]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
[nombre seleccionado] = [ubicación y nombre del troyano]

El [nombre seleccionado] y [nombre 1] y [nombre 2], así como la [ubicación y nombre del troyano], dependerán de la configuración asignada por el atacante. Cómo ejemplo, en las versiones detectadas de este troyano, el mismo crea estos archivos:

c:\windows\system...exe
c:\windows\system\system..exe
c:\windows\system\kjlib.dll

Y estos valores en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
system... = c:\windows\system...exe
system. = c:\windows\system\system..exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
system. = c:\windows\system\system..exe


Más información y método de limpieza, en el siguiente artículo:

Troj/Backdoor.OptixPro.13. Troyano de acceso remoto
http://www.vsantivirus.com/back-optixpro-13.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS