Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Backdoor.Quimera. Troyano de acceso remoto
 
VSantivirus No. 257 - Año 5 - Jueves 22 de marzo de 2001

Nombre: Backdoor.Quimera
Tipo: Caballo de Troya de acceso remoto
Fecha: 19/mar/01

Es un caballo de Troya, que permite el acceso no autorizado a la computadora infectada.

Llega a la misma, simulando ser el instalador de alguna aplicación.

Cuando el usuario ejecuta ese instalador, el troyano agrega los siguientes archivos al sistema:

C:\~setup.t\Mswinsck.ocx 
C:\~setup.t\Teste.exe 
C:\~setup.t\Vb40032.dll

El troyano moverá luego los archivos Vb40032.dll y Mswinsck.ocx desde C:\~setup.t a C:\Windows\System.

El troyano ejecuta el archivo TESTE.EXE luego de estas acciones. Este ejecutable está programado en Visual Basic, y requiere que en la computadora infectada exista la librería Vb40032.dll para poder ejecutarse, la cuál es agregada por el troyano.

Teste.exe también registra al archivo Mswinsck.ocx en el registro del sistema.

Este archivo es el utilizado para establecer una conexión a través de Internet.

TESTE.EXE también se copia a un archivo llamado NETCOM1.EXE en C:\WINDOWS:

C:\WINDOWS\NETCOM1.EXE

El registro de Windows también es modificado, para agregar la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
modem1 = C:\WINDOWS\NETCOM1.EXE

Esto ocasiona que el archivo Netcom1.exe (o sea el troyano) sea ejecutado cada vez que Windows se inicia.

Como sacar el troyano de un sistema infectado

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

"modem1" "C:\WINDOWS\NETCOM1.EXE"

4. Pinche sobre el nombre "modem1" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

7. Pinche en Inicio, Buscar, Archivos o carpetas.

8. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

9. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:

Mswinsck.ocx, Teste.exe, NETCOM1.EXE

10. Pinche en "Buscar ahora".

11. Si aparece alguno de esos archivos, márquelos.

12. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

13. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

14. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red").

Fuente: Symantec

 

Copyright 1996-2001 Video Soft BBS