Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Backdoor-NB. Troyano que afecta asociación con los .EXE
 
VSantivirus No. 260 - Año 5 - Domingo 25 de marzo de 2001

Nombre: Backdoor-NB
Tipo: Caballo de Troya de Acceso Remoto
Tamaño: 535,971 bytes
Fecha: 23/mar/01

Se trata de un troyano de acceso remoto, con capacidad de capturar todo lo tecleado en la máquina infectada (key logger). Es capaz de enviar todo lo que la víctima teclea a un atacante conectado en forma remota, incluso las contraseñas ingresadas por medio del teclado.

El atacante puede realizar estas tareas en forma remota en la PC infectada:
  • Crear, borrar, descargar, subir y renombrar archivos y carpetas
  • Ejecutar programas
  • Abrir en el browser, una dirección de Internet determinada
  • Ocultar el menú de inicio, la barra de tareas y el escritorio
  • Cambiar la configuración de la pantalla, el papel tapiz y el salvador de pantalla
  • Girar la pantalla
  • Modificar la fecha y la hora del sistema
  • Borrar el contenido del portapapeles
  • Abrir y cerrar la bandeja de la lectora de CD
  • Reproducir un texto por medio de la voz, si se encuentra el software apropiado
  • Reproducir otros sonidos
  • Imprimir textos
  • Espiar las sesiones de ICQ e IRC
  • Obtener la información del Instant Messenger de AOL
  • Notificar al atacante cuando el servidor (la víctima) está conectado a Internet, así como su dirección IP, a través del ICQ
  • Obligar al monitor a entrar en modo de ahorro de energía
  • Grabar los movimientos del ratón
  • Enviar correo electrónico

Cuando el troyano es ejecutado, se crean los archivos HSPX.EXE y TPDFK.EXE en la carpeta C:\WINDOWS:

C:\WINDOWS\HSPX.EXE
C:\WINDOWS\TPDFK.EXE

El archivo HSPX.EXE es el cargador (loader) del cuerpo principal del troyano (TPDFK.EXE).

El troyano modifica la siguiente clave del registro, de modo que cada vez que un archivo .EXE es ejecutado, también se corre el programa cargador (HSPX.EXE) que lanza al troyano (TPDFK.EXE):

HKLM\Software\CLASSES\exefile\shell\open\command\
Predeterminado=hspx.exe "%1" %*

También crea la siguiente clave conteniendo valores usados por el troyano:

HKEY_LOCAL_MACHINE\Hardware\Data

Para eliminar el troyano de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

command   /c   rename   c:\windows\regedit.exe   regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Classes
exefile
shell
open
command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) hspx.exe "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (hspx.exe) y dejar solo esto:

"%1" %*

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

y

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

8. Busque y borre las claves con referencia al nombre del troyano en las carpetas "RunServices" y "Run", si aparecieran en la ventana de la derecha (por ejemplo C:\WINDOWS\TPDFK.EXE)

9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Active Setup
Installed Components

10. Busque una clave que contenga alguna referencia al troyano, y de existir, borre la clave

11. Si existe, busque y borre la siguiente entrada al registro:

HKEY_CLASSES_ROOT\.dl

12. Pinche sobre la carpeta ".dl" y bórrela.

13. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

14. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

15. Si existe alguna referencia a los archivos del troyano en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
run=C:\WINDOWS\TPDFK.EXE

Debe quedar como:

[Windows]
run=

16. Grabe los cambios y salga del bloc de notas.

17. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

18. Busque lo siguiente:

[boot]
shell=Explorer.exe C:\WINDOWS\TPDFK.EXE

y déjelo así:

[boot]
shell=Explorer.exe

19. Grabe los cambios y salga del bloc de notas

20. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

21. Pinche en Inicio, Buscar, Archivos o carpetas.

22. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

23. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:

HSPX.EXE, TPDFK.EXE

24. Pinche en "Buscar ahora".

25. Si aparecen esos archivos, márquelos.

26. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

27. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

28. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

Fuente: Symantec

 

Copyright 1996-2001 Video Soft BBS