|
VSantivirus No. 459 - Año 5 - Miércoles 10 de octubre 2001
Nombre: Backdoor.Slackbot.B
Tipo: Caballo de Troya
Fecha: 9/oct/01
Este troyano del tipo backdoor (puerta trasera), permite a un atacante tomar el control de la computadora infectada, a través del IRC (Internet Relay Chat).
Otra de sus características, es la de poder actualizarse a si mismo desde Internet.
Para su conexión utiliza el puerto 6667 (IRC) por defecto, pero esto puede ser configurado, al ser creado por el atacante. Para ello, se utiliza una utilidad específica.
El troyano es un archivo en formato PE (Portable Executable). Cuando se abre, crea una copia de si mismo en la carpeta por defecto correspondiente a la instalación de Windows
(%Windows%), por ejemplo:
C:\Windows\Zwbv.exe
C:\Winnt\Zwbv.exe
Luego agrega esta ubicación en el registro, en la siguiente clave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
De esta forma, se ejecutará en cada reinicio de Windows.
El troyano contiene su propio cliente IRC, de modo que aún el usuario que no tenga instalado ningún programa de este tipo en su PC (mIRC, etc.), puede conectarse a canales de IRC sin saberlo.
El canal al que se conecta, también es asignado por el atacante al generar el código. Usando este canal, el troyano puede recibir los comandos que le permitirán realizar estas acciones:
- Administrar la instalación del backdoor
- Controlar el cliente IRC en la computadora atacada
- Actualizar dinámicamente la instalación del backdoor
- Enviar el backdoor a otros canales IRC, en un intento
de afectar a otras computadoras
- Descargar y ejecutar archivos
Para limpiar su PC
Para quitar manualmente el troyano, ejecute un antivirus al día, y borre todos los archivos infectados.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha busque la entrada que haga referencia al archivo
"Zwbv.exe".
4. Pinche sobre esa entrada si existe, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Si el troyano ha estado en su computadora, el atacante puede haber instalado y ejecutado cualquier programa sin su conocimiento, incluso otro troyano o virus, provocando cambios que tal vez no sea sencillo identificar. En ese caso considere la reinstalación completa del sistema operativo.
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, que detendrá y advertirá la conexión del troyano con Internet:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Glosario:
IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
Archivos PE (Portable Executable) - Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Fuente: Symantec
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|