Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde el 12 de agosto de 1996
Trojan: Backdoor.RAT y Backdoor.RAT.Client
|
|
Domingo 19 de noviembre de 2000
Nombre: Backdoor.RAT y Backdoor.RAT.Client
Tipo: Caballo de Troya
Backdoor.RAT (RAT viene de Remote Access Tool, Herramienta de Acceso Remoto), es un caballo de Troya que consta, como es común, de dos partes, el cliente y el servidor. El cliente es usado para conectarse con el servidor a través de Internet o una red (LAN), a través de protocolos TCP/IP.
El servidor permite ser configurado de diferentes formas. Los protocolos de red usados para la conexión y el control pueden ser TCP o UDP. Cualquier puerto entre 1 y 65535 puede ser seleccionado para la comunicación.
Para conectarse con el servidor, es necesario que el mismo esté funcionando en la computadora a la que se quiere acceder. También es necesario saber la dirección IP (Internet Protocol) de esa computadora. Pero esto puede averiguarse examinando los puertos abiertos en la máquina infectada, por parte del cliente.
El servidor se enmascara como un archivo INSTALL.EXE cuando es enviado a la víctima, y es esta sin saberlo, quien lo ejecuta por primera vez.
Supongamos usted lo recibe adjunto a un mensaje, o lo baja de un sitio malicioso, pensando se trata de la instalación de algún utilitario o juego. Una vez ejecutado, el trojan se instala a si mismo en su máquina, y realiza los cambios necesarios para que se ejecute en cada reinicio de Windows. Si usted pulsa Ctrl+Alt+Supr, no lo verá en la lista de tareas que se están ejecutando.
A partir de entonces, su computadora estará avisando a quien tenga el servidor, que puede ser accedida en forma remota por este, por supuesto sin que usted lo sepa.
Cualquiera que tenga el programa cliente, llamado (Backdoor.RAT.Client), puede conectarse al server (o sea a su máquina) y controlarla en forma remota.
La lista de acciones posibles es la siguiente:
* Congela o descongela el puntero del mouse.
* Esconde la barra de tareas, y deshabilita el botón de Inicio.
* Cambia el control del volumen de la tarjeta de sonido.
* Deshabilita combinaciones de teclas como Ctrl+Alt+Supr, Alt+Tab, o Ctrl+Esc.
* Es capaz de imprimir en la impresora de la máquina infectada, hasta un total de 7 dibujos en formato ASCII, como la gran cabeza de un alien, un diablo, o la familia Simpson.
* Puede capturar y guardar todas las teclas pulsadas y todas las acciones realizadas por la víctima en su computadora.
* Muestra todas las claves, procesos activos y los puertos conectados.
* Es capaz de desconectar programas como el ICQ, el mIRC y todos los servicios de Internet.
* Puede copiar, borrar, renombrar, enviar y descargar archivos o directorios completos.
* Puede crear, modificar o borrar claves del registro de Windows.
Un cortafuego (firewall), como ZoneAlarm que es gratuito, puede bloquear la acción de este trojan. Vea en nuestro sitio como usar y configurar este programa bajo el título (2/nov/00)
"Zone Alarm. El botón rojo que desconecta su PC de la
red." o en nuestro boletín VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000".
Recuerde que el archivo recibido (el servidor) puede tener otro nombre, además del mencionado: INSTALL.EXE, y por supuesto, jamás abra archivos no solicitados, ni tampoco bajados de Internet, sin revisarlos antes con dos o tres antivirus al día. Un antivirus al día monitoreando, es muy aconsejable.
Para borrar el trojan de su PC, edite el registro de Windows con REGEDIT, busque el nombre del ejecutable recibido en estas ramas del registro (ventana izquierda del REGEDIT), y borre la referencia a ese archivo en la ventana de la derecha del REGEDIT (por ej.: INSTALL.EXE):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Se sugiere correr un antivirus al día, preferentemente iniciando su PC desde un disquete (vea:
"Cómo ejecutar F-PROT en un
disquete" en nuestro sitio. F-PROT es un antivirus gratuito para uso personal), o simplemente borre el archivo recibido (luego de borrar las claves del registro y de reiniciar su PC).
Fuente: Symantec
|
|
|