| |
VSantivirus No. 158 - Año 4 - Miércoles 13 diciembre de 2000
Trojan: Backdoor-JN
Tipo: Caballo de Troya de acceso remoto
Fecha: 12/12/00
Tamaño: 23,145 bytes
Este troyano está siendo distribuido desde un sitio Web, a través del script VBS/RunScript.gen4, que explota la vulnerabilidad "Scriptlet.typelib/Eyedog", con lo que podemos infectarnos solo con visualizar este sitio.
Luego de ello, el caballo de Troya es capaz de enviar información del sistema infectado, a un usuario remoto a través del ICQMail. Estos datos permiten que el atacante pueda tomar el control de la computadora infectada. Las acciones posibles, incluyen el robo del nombre de usuario y contraseñas.
Cuando se ejecuta por primera vez el trojan se copia a si mismo al directorio
C:\WINDOWS, con el nombre de ONZ.EXE.
Luego, modifica el archivo C:\WINDOWS\WIN.INI:
[windows]
Run = Onz.exe
Esto permitirá su ejecución en cada reinicio de Windows.
También modifica el archivo C:\WINDOWS\SYSTEM.INI:
[boot]
shell=Explorer.exe Onz.exe
Esto hará que junto al Explorador de Windows se ejecute el troyano.
El registro también es modificado, de la siguiente forma:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellMgr\çÈìê=¯¯¯
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellMgr\ÙÈëë=ãÙáÙê
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellMgr\ÁÉ»=©
También es creado el archivo "C:\LOG.TXT", y en él se guardan todas las teclas pulsadas por el usuario, con el propósito de capturar datos tales como nombre de usuario y contraseña.
Si se está conectado a Internet, se abre el puerto 777
(TCP/IP).
El virus envía entonces un mensaje a través del ICQMail, al autor del trojan. Dicho mensaje contiene la dirección IP de la víctima, los puertos TCP/IP abiertos, y la contraseña para conectarse a esa computadora.
La presencia de un archivo ONZ.EXE en C:\WINDOWS, y las modificaciones mencionadas en los archivos WIN.INI y SYSTEM.INI, y en el registro, son los síntomas visibles de su presencia.
El método de infección se aprovecha de una vulnerabilidad del Internet Explorer 5 (solucionada en el IE 5.5). Al ingresar el usuario a un sitio de juegos y cargar sus páginas, el troyano se instala en la computadora.
Existe un parche que bloquea la vulnerabilidad que permite la acción del virus, y que usted debe instalar si utiliza el Internet Explorer 5.0 (ver:
http://www.microsoft.com/technet/security/bulletin/ms99-032.asp)
Para bajar manualmente el parche ("Scriptlet.typelib/Eyedog" Vulnerability):
q240308.exe
(108 Kb)
Si usa el Internet Explorer 5.5, esta vulnerabilidad está cubierta.
Para saber que versión de IE tiene instalada, vaya a Ayuda, Acerca de Internet Explorer, y mire el número de versión. Si los primeros dígitos que aparecen son 5.00, usted debe bajar e instalar el parche mencionado, o actualizarse al Internet Explorer 5.5.
Para eliminar el trojan en forma manual, borre las líneas mencionadas en WIN.INI (use el bloc de notas para editarlos, o en Windows 95 y 98, lance desde Inicio, Ejecutar, el programa SYSEDIT):
[windows]
Run = Onz.exe
cámbielo por:
[windows]
Run =
También modifique el archivo
C:\WINDOWS\SYSTEM.INI:
[boot]
shell=Explorer.exe Onz.exe
cámbielo por:
[boot]
shell=Explorer.exe
Borre las entradas mencionadas en el registro de Windows (use REGEDIT), y también el archivo C:\WINDOWS\ONZ.EXE
Fuente: McAfee
|
|
