Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

IRC/FinalBot. Troyano que convierte su PC en Zombie
 
VSantivirus No. 421 - Año 5 - Domingo 2 de setiembre de 2001

Nombre: IRC/FinalBot
Tipo: Caballo de Troya de Acceso Remoto
Alias: Trojan.Win32.JavaKiller
Fecha: 14/ago/01
Tamaño: 726,528 bytes

Es un elaborado troyano capaz de convertir su PC en un ZOMBIE (1), comportándose como un BOT (2), habilitando a un atacante a tomar el control de su PC en forma remota, a través de comandos enviados a través de los canales de IRC (Internet Relay Chat) (3). El usuario no necesita tener instalado ningún cliente de IRC para ser infectado, ya que el troyano instala archivos del mIRC y lo utiliza sin su conocimiento.

El ejecutable principal es un archivo auto extraíble de 726,528 bytes, conteniendo otros 39 archivos, los que se descargan en la computadora infectada, mientras se muestra en el monitor lo que aparenta ser un programa buscador de cracks creados para el uso ilegal de programas comerciales (TNT Crack):

c:\WINDOWS\deadday.exe 
c:\WINDOWS\COMMAND\mirc.ini 
c:\WINDOWS\COMMAND\rundle.exe 
c:\WINDOWS\COMMAND\rundle2.exe 
c:\WINDOWS\COMMAND\rundlls.exe 
c:\WINDOWS\COMMAND\script.ini 
c:\WINDOWS\JAVA\Server\saw.exe 
c:\WINDOWS\JAVA\Server\servera.ini 
c:\WINDOWS\JAVA\Server\serveri.txt 
c:\WINDOWS\JAVA\Server\servern.txt
c:\WINDOWS\JAVA\Server\serverna.txt 
c:\WINDOWS\JAVA\Server\serverol.ini 
c:\WINDOWS\JAVA\Server\serveropti.ini 
c:\WINDOWS\JAVA\Server\serverq.txt 
c:\WINDOWS\JAVA\Server\serverr.ini 
c:\WINDOWS\JAVA\Server\servers.ini 
c:\WINDOWS\JAVA\Server\serverst.ini 
c:\WINDOWS\JAVA\Server\serverst10.ini 
c:\WINDOWS\JAVA\Server\serverst2.ini 
c:\WINDOWS\JAVA\Server\serverst3.ini 
c:\WINDOWS\JAVA\Server\serverst4.ini 
c:\WINDOWS\JAVA\Server\serverst5.ini 
c:\WINDOWS\JAVA\Server\serverst6.ini 
c:\WINDOWS\JAVA\Server\serverst7.ini 
c:\WINDOWS\JAVA\Server\serverst8.ini 
c:\WINDOWS\JAVA\Server\serverst9.ini 
c:\WINDOWS\JAVA\Server\servertr.txt 
c:\WINDOWS\JAVA\Server\serverv.ini 
c:\WINDOWS\JAVA\Server\servito.reg 
c:\WINDOWS\JAVA\Server\servito2.reg 
c:\WINDOWS\JAVA\Server\set.exe 
c:\WINDOWS\JAVA\Server\sscanner.ini 
c:\WINDOWS\JAVA\Server\ssetup.ini 
c:\WINDOWS\JAVA\Server\textdrive.exe 
c:\WINDOWS\JAVA\Server\updater.ini 
c:\WINDOWS\JAVA\Server\upscript.ini 
c:\WINDOWS\JAVA\Server\was.exe 
c:\WINDOWS\SYSTEM\boteco.exe 
c:\WINDOWS\SYSTEM\thebot.exe 

Los archivos .INI contienen las instrucciones para que el archivo RUNDLLS.EXE, (el cliente del mIRC también copiado por el virus en la computadora infectada), pueda funcionar como un servidor furtivo en segundo plano, conectándose a Internet y a algunos canales de chat para recibir ordenes.

El troyano también utiliza las siguientes claves del registro para guardar información relacionada con su funcionamiento:

HKCU\Software\mIRC\date
HKCU\Software\mIRC\lock
HKCU\Software\mIRC\channels
HKCU\Software\mIRC\name
HKCU\Software\mIRC\code
HKU\.DEFAULT\Software\mIRC\date
HKU\.DEFAULT\Software\mIRC\lock
HKU\.DEFAULT\Software\mIRC\channels
HKU\.DEFAULT\Software\mIRC\name
HKU\.DEFAULT\Software\mIRC\code

También se crean las siguientes entradas en el registro, para que el troyano se active en cada reinicio de la computadora.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
startwindowskeyuser = [archivo del troyano]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
startwindowskeyuser = rundle2.exe

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, que detendrá y advertirá la conexión del troyano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red

Cómo quitar el troyano manualmente

Para quitar este troyano de un sistema infectado, ejecute uno o dos antivirus al día, y luego borre las siguientes claves del registro usando REGEDIT (Inicio, Ejecutar, escriba REGEDIT y pulse Enter):

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

Pinche en "Run", y borre en la ventana de la derecha lo siguiente:

startwindowskeyuser

Busque la siguiente entrada:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices

Pinche en "RunServices", y borre en la ventana de la derecha lo siguiente:

startwindowskeyuser

Salga del editor del Registro y reinicie su computadora.

Borre los siguientes archivos si aparecen en Windows:

c:\WINDOWS\deadday.exe 
c:\WINDOWS\COMMAND\mirc.ini 
c:\WINDOWS\COMMAND\rundle.exe 
c:\WINDOWS\COMMAND\rundle2.exe 
c:\WINDOWS\COMMAND\rundlls.exe 
c:\WINDOWS\COMMAND\script.ini 
c:\WINDOWS\JAVA\Server\saw.exe 
c:\WINDOWS\JAVA\Server\servera.ini 
c:\WINDOWS\JAVA\Server\serveri.txt 
c:\WINDOWS\JAVA\Server\servern.txt
c:\WINDOWS\JAVA\Server\serverna.txt 
c:\WINDOWS\JAVA\Server\serverol.ini 
c:\WINDOWS\JAVA\Server\serveropti.ini 
c:\WINDOWS\JAVA\Server\serverq.txt 
c:\WINDOWS\JAVA\Server\serverr.ini 
c:\WINDOWS\JAVA\Server\servers.ini 
c:\WINDOWS\JAVA\Server\serverst.ini 
c:\WINDOWS\JAVA\Server\serverst10.ini 
c:\WINDOWS\JAVA\Server\serverst2.ini 
c:\WINDOWS\JAVA\Server\serverst3.ini 
c:\WINDOWS\JAVA\Server\serverst4.ini 
c:\WINDOWS\JAVA\Server\serverst5.ini 
c:\WINDOWS\JAVA\Server\serverst6.ini 
c:\WINDOWS\JAVA\Server\serverst7.ini 
c:\WINDOWS\JAVA\Server\serverst8.ini 
c:\WINDOWS\JAVA\Server\serverst9.ini 
c:\WINDOWS\JAVA\Server\servertr.txt 
c:\WINDOWS\JAVA\Server\serverv.ini 
c:\WINDOWS\JAVA\Server\servito.reg 
c:\WINDOWS\JAVA\Server\servito2.reg 
c:\WINDOWS\JAVA\Server\set.exe 
c:\WINDOWS\JAVA\Server\sscanner.ini 
c:\WINDOWS\JAVA\Server\ssetup.ini 
c:\WINDOWS\JAVA\Server\textdrive.exe 
c:\WINDOWS\JAVA\Server\updater.ini 
c:\WINDOWS\JAVA\Server\upscript.ini 
c:\WINDOWS\JAVA\Server\was.exe 
c:\WINDOWS\SYSTEM\boteco.exe 
c:\WINDOWS\SYSTEM\thebot.exe

Glosario:

(1) ZOMBIE - Una computadora generalmente infectada con un troyano de acceso remoto, capaz de recibir ordenes externas, y de actuar, generalmente en actividades maliciosas, sin el conocimiento de sus dueños.

(2) BOT - Copia de un usuario en un canal de IRC (3), generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea, y sin nuestra intervención directa.

(3) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.


Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy

  

Copyright 1996-2001 Video Soft BBS