|
VSantivirus No. 245 - Año 5 - Sábado 10 de marzo de 2001
Nombre: Backdoor-KZ (Casus)
Tipo: Caballo de Troya
Alias: Casus
Fecha: 23/feb/01
Tamaño: 139,880 bytes
Activo: Si
Se trata de un troyano que se convierte en un servidor de acceso remoto, que le permite a un atacante, usando el cliente apropiado, acceder a la computadora infectada, para realizar furtivamente determinadas tareas sin el conocimiento del usuario de esa PC.
Al conectarse el usuario a Internet, su dirección IP es enviada al autor del programa a través de un mensaje del ICQ.
Cuando se ejecuta, el troyano realiza las siguientes modificaciones en el registro:
HKEY_USERS\.DEFAULT\Software\spy
HKEY_USERS\.DEFAULT\Software\spy\SystemS
Ambas claves son usadas para guardar información tal como puerto de conexión, dirección e-mail donde se enviará la dirección IP, etc.
También se agrega la siguiente clave, para poder ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemSpy = (camino y nombre del troyano)
Una vez instalado, cualquiera que ejecute el correspondiente cliente, puede conectarse a su sistema a través de una conexión
TCP/IP por el puerto 1919.
Algunas de las tareas que entonces podrá hacer en forma remota en la computadora infectada serán:
- Modificar el papel tapiz del escritorio
- Cambiar la resolución de la pantalla
- Salir, reiniciar y apagar Windows
- Ejecutar programas
- Mostrar mensajes
- Copiar, renombrar, mover y borrar archivos y directorios
Como sacar el troyano de un sistema infectado
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:
SystemSpy "(camino y nombre del troyano)"
4. Apunte en un papel lo que aparece en
"(camino y nombre del troyano)".
5. Pinche sobre el nombre "SystemSpy" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
8. Pinche en Inicio, Buscar, Archivos o carpetas.
9. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".
10. En la casilla "Nombre" escriba (o "corte y pegue") el
nombre del archivo que apuntó en el punto (3), o sea el nombre del troyano.
11. Pinche en "Buscar ahora".
12. Si aparece ese archivo, márquelo.
13. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.
14. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
15. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.
Si lo desea repita los pasos 1, 2, 3, 5 y 6 para eliminar la entrada
"spy" en HKEY_USERS\.DEFAULT\Software\
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado en forma premeditada.
Un cortafuegos como ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000,
Zone Alarm - El botón rojo que desconecta su PC de la
red"), es suficiente para interceptarlo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Fuente: Network Associates
Ver también:
12/feb/01 - San Valentín y los virus. Consejos para todo el año
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED
02/nov/00 - Zone Alarm - El botón rojo que desconecta su PC de la red
[ Más
artículos ]
|
|