Trojan: Troj_DarkFTP. Cliente FTP que puede descargar archivos

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 211 - Año 5 - Domingo 4 de febrero de 2001

Nombre: Troj_DarkFTP
Tipo: Caballo de Troya
Tamaño: 458,752 Bytes

Se trata de un troyano, del que se han recibido varios reportes, y que permite que un usuario remoto se conecte a la PC infectada. Utiliza para ello conexiones FTP (File Transfer Protocol) e IRC (Internet Relay Chat), en este caso usando el cliente mIRC.

Cuando se ejecuta, instala un servidor FTP (File Transfer Protocol) en el equipo atacado, permitiendo de esta manera que alguien que conozca la IP de dicho equipo, pueda acceder al sistema.

Al ser ejecutado, el troyano libera el archivo DARKFTP.EXE en el directorio C:\WINDOWS\SYSTEM.

Luego crea esta clave en el registro, para ser lanzado en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSRegScan = C:\WINDOWS\SYSTEM\DARKFTP.EXE

También agrega su configuración por defecto en las siguientes entradas del registro:

HKLM\Software\DataLogic\ActiveSubControl\Arrays
IRCSRV=194.247.160.11

HKLM\Software\DataLogic\ActiveSubControl\Arrays
IRCPRT=6667

HKLM\Software\DataLogic\ActiveSubControl\Arrays
IRCCHN=#whidarkftp

HKLM\Software\DataLogic\ActiveSubControl\Arrays
IRCUSE=1

HKLM\Software\DataLogic\ActiveSubControl\Arrays
FTPRT=21

HKLM\Software\DataLogic\ActiveSubControl\Arrays
FTPMUS=99

HKLM\Software\DataLogic\ActiveSubControl\Arrays
FTPUSR=anonymous

HKLM\Software\DataLogic\ActiveSubControl\Arrays
FTPPWD=bill@sux.com

Una vez ejecutado, el troyano abre el puerto FTP, y un usuario remoto puede acceder al sistema infectado. Para ello, el troyano se encarga de conectarse via IRC a un servidor y un canal de chat determinado por el autor del mismo, donde notifica que el sistema está infectado, y la dirección IP del mismo.

Como sacar el troyano de un sistema infectado

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

MSRegScan "C:\WINDOWS\SYSTEM\DARKFTP.EXE"

4. Pinche sobre "MSRegScan" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar esta clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Salga de Windows desde Inicio, Apagar el sistema, Reiniciar.

7. Pinche en Inicio, Buscar, Archivos o carpetas.

8. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

9. En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:

DARKFTP.EXE

10. Pinche en "Buscar ahora".

11. Si aparece ese archivo, márquelo.

12. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

13. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

14. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

Fuente: Virus Attack!, Trend Micro

Ver también:
02/nov/00 - Zone Alarm - El botón rojo que desconecta su PC de la red
10/nov/00 - La primera línea de defensa contra los virus: USTED
26/nov/00 - Pautas generales para mantenerse alejado de los virus