|
VSantivirus No. 2199 Año 10, martes 25 de julio de 2006
Haxdoor.GA. Roba información, evita ser detectado
http://www.vsantivirus.com/haxdoor-ga.htm
Nombre: Haxdoor.GA
Nombre NOD32: Win32/Haxdoor.GA
Tipo: Caballo de Troya
Alias: Haxdoor.GA, BackDoor.Haxdoor.322, Backdoor.Haxdoor.ga, Backdoor.Haxdoor.O, Backdoor.Win32.Haxdoor.GA, Backdoor.Win32.Haxdoor.ga, BackDoor-BAC, Bck/Haxdoor.LZ, BDS/Haxdoor.GA.12, BehavesLike:Trojan.WinlogonHook, Troj/Haxdoor-CP, Trojan.DR.Haxdoor.Gen.4, W32/Haxdoor.KW@bd, Win32/Haxdoor!generic, Win32/Haxdoor.1gd!Trojan, Win32/Haxdoor.GA
Fecha: 24/jul/06
Plataforma: Windows 32-bit
Tamaño: 56,276 bytes
Caballo de Troya del tipo downloader que al ejecutarse descarga, sin el conocimiento del usuario, determinados archivos.
Además, abre una puerta trasera en el equipo infectado, y queda a la espera de la conexión de un atacante remoto. Posee una variada cantidad de comandos administrativos, que permiten realizar acciones tales como interceptar contraseñas y otra información sensible del usuario.
Algunas de las acciones posibles:
- Capturar la salida del teclado
- Comprobar la existencia de programas como Webmoney
- Controlar los componentes del propio troyano
- Descargar y ejecutar archivos
- Obtener contraseñas almacenadas en Windows
- Obtener contraseñas de diferentes programas
- Obtener información de conexiones telefónicas
Utiliza técnicas de rootkit para esconder sus propios archivos, procesos, servicios, y entradas en el registro. Para ello, libera otros archivos que realizan esas funciones.
Un rootkit es una herramienta que permite esconder actividades intrusas dentro de un sistema. Suelen proveer al atacante de vías de acceso ocultas para utilizar nuevamente el sistema en futuras oportunidades. El nombre se origina a partir de la idea de que quien lo utiliza puede acceder fácilmente al nivel de root, o de administrador del sistema, una vez que la herramienta ha sido instalada.
El troyano evita ser borrado o que sea finalizada su ejecución.
También puede llegar a deshabilitar otros programas, incluyendo antivirus y cortafuegos.
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\qo.dll
c:\windows\system32\qo.sys
c:\windows\system32\yvsvga.dll
c:\windows\system32\ycsvga.sys
c:\windows\system32\yvsvga.sys
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Los siguientes archivos también son creados, para almacenar la información capturada:
c:\windows\system32\gsvga.bin
c:\windows\system32\lps.dat
c:\windows\system32\mnsvgas.bin
c:\windows\system32\shsvga.bin
c:\windows\system32\tnstt.a3d
c:\windows\system32\ttsvga.dat
c:\windows\system32\wagfola4w.dat
También puede crear o modificar las siguientes entradas del registro, para autoejecutarse como un servicio de Windows, y también para hacerlo incluso en modo a prueba de fallos:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\yvsvga
HKLM\SYSTEM\CurrentControlSet\Control
\SafeBoot\Minimal\ycsvga.sys
HKLM\SYSTEM\CurrentControlSet\Control
\SafeBoot\Network\ycsvga.sys
HKLM\SYSTEM\CurrentControlSet\Services\ycsvga
El servicio creado es el siguiente:
Nombre de servicio: ycsvga
Nombre para mostrar: NDIS OSI
Ruta de acceso al ejecutable: [camino]\yvsvga.dll
Tipo: Automático
IMPORTANTE: Note que tanto este servicio, como las entradas creadas en el registro, y los archivos liberados, no son visibles, ni aún reiniciando en modo a prueba de fallos, debido a la acción de su rootkit. Para ello inyecta YVSVGA.DLL en el mismo proceso de EXPLORER.EXE.
Intentará acceder al siguiente sitio, con la información robada del sistema:
https: // www .e-gold .com/
La información obtenida, también podrá ser enviada vía correo electrónico a un usuario remoto.
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado.
NOTA: Esta versión del troyano parece haber sido propagada vía spam, en un mensaje con las siguientes características:
Datos adjuntos: WC2905036.zip
Texto del mensaje:
Dear Sir/Madam,
Thank you for shopping with our internet shop. Your order,
WC2905036, has been received. Summary of your order you
can see in the attachment file.
This email is to confirm the receipt of your order. Please
do not reply as this email was sent from our automated
confirmation system.
Please Note: There is no need to re-send your request or
call our customer service department for status or
tracking number, this will only delay our response time to
you. Rest assured, we are making every effort to process
and ship your order within 1 to 2 business days. We
appreciate your understanding and patience and do value
your business.
Once your order has been processed and shipped a FEDEX
Tracking number will be automatically emailed to the
address provided.
Please Note: Tracking information will be available in
FedEx's system only after 10pm EST Monday thru Friday. If
you receive a tracking number on Sunday, you will be able
to track it Monday evening after 10pm EST.
All orders placed including 1-2 or 2-3 business day
options are shipped within 48 hours providing the
merchandise is in stock.
All FedEx Ground orders will take 7-10 business days to
arrive. Some packages may require a signature upon
delivery. These packages will not be left without a
signature. For your convenience, we will email you a FedEx
tracking number on all successfully processed and shipped
orders.
All Plasma TVs, DVD players, Scanners, Fax Machines,
Receivers, Home Theater, and Printers are not returnable
after box is opened.
To insure the best handling of your order please allow
24-48 business hours for the processing and the shipping
of your order. Thank you for your cooperation.
We hope you enjoy your order! Thank you for shopping with
us!
Reparación manual
MUY IMPORTANTE: Debido a las acciones y modificaciones que este troyano realiza en el sistema, la única forma de quitarlo es ingresando a Windows con la utilización de la Consola de
Recuperación (Windows XP).
Para ello, siga las instrucciones que se dan en "Acerca de la Consola de Recuperación", y borre manualmente, desde la línea de comandos del sistema, los archivos relacionados con el troyano. Luego reinicie el equipo para aplicar el resto de las instrucciones de limpieza.
Acerca de la Consola de Recuperación
Microsoft sólo recomienda este método a los usuarios avanzados. Se aconseja que usted se familiarice con la consola de recuperación, mientras su sistema esté sano (NOTA: Se requiere la contraseña administrativa para ingresar a la consola).
Para ejecutar la consola de recuperación desde los disquetes de inicio o desde el CD de Windows XP, siga estos pasos (para crear los disquetes de inicio, puede utilizar las herramientas de Microsoft cuyos enlaces podrá encontrar en
http://www.vsantivirus.com/sites.htm):
1. Inserte el disquete de inicio de Windows XP en la unidad de disquete o inserte el CD-ROM de Windows XP en la unidad de CD y a continuación reinicie el equipo (en algunos casos, deberá seleccionar en el BIOS el método de inicio).
Si se le pide, haga clic para seleccionar las opciones necesarias que se le soliciten para iniciar el equipo desde la unidad de CD-ROM.
2. Cuando aparezca la pantalla "Programa de instalación", presione "R" para iniciar la consola de recuperación.
3. Si tiene un equipo con inicio dual o múltiple, seleccione la instalación a la que debe tener acceso desde la consola de recuperación.
4. Cuando se le indique, escriba la contraseña de administrador. Si esta contraseña estuviera en blanco, solo presione la tecla ENTER.
5. En el símbolo del sistema, escriba los comandos apropiados para borrar manualmente los archivos relacionados con el troyano, que son los que se indican en la descripción del mismo.
Para obtener una lista de los comandos disponibles en la consola de recuperación, escriba "RECOVERY CONSOLE COMMANDS" o "HELP" (en todos los casos, sin las comillas), en el símbolo del sistema y presione la tecla ENTER.
Para obtener más información acerca de un comando específico, escriba "HELP nombre_del_COMANDO" en el símbolo del sistema y presione ENTER.
6. Para salir de la consola de recuperación y reiniciar el equipo, escriba "EXIT" en el símbolo del sistema y presione ENTER.
Más información sobre el uso de la Consola de Recuperación:
http://support.microsoft.com/default.aspx?scid=kb;es;E307654
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\Notify
\yvsvga
3. Haga clic en la carpeta "yvsvga" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SafeBoot
\Minimal
\ycsvga.sys
5. Haga clic en la carpeta "ycsvga.sys" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SafeBoot
\Network
\ycsvga.sys
7. Haga clic en la carpeta "ycsvga.sys" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\ycsvga
9. Haga clic en la carpeta "ycsvga" y bórrela.
10. Cierre el editor del registro.
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|