Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Troj/Incomm16a.s. Falso programa de control de seguridad
 
VSantivirus No. 297 - Año 5 - Martes 1 de mayo de 2001

Nombre: Troj/Incomm16a.s
Tipo: Caballo de Troya de Acceso Remoto
Tamaño: 340,483 bytes
Alias: TROJ_INCOMM16A.S, Incommand 1.6.5 Srv 16, BackDoor-DB.svr.gen, INCOMM16A.S
Destructivo: Si
Reportado activo: Si

Este troyano permite el acceso remoto de un atacante, al sistema infectado. Simula ser un programa de control de seguridad y monitoreo de la red, que suele circular con el nombre de MSSECURE.EXE, y posee un tamaño de 340 Kb aprox.

Una vez activo, permanece residente en memoria, y como todo troyano de este tipo, consta de dos partes, el servidor y el cliente.

El servidor, es el que se instala en la computadora atacada, y el cliente, es el que usa el atacante para tomar el control de la PC infectada.

Cuando se ejecuta, el troyano se copia a si mismo en la carpeta C:\WINDOWS con el nombre de SERVER16.EXE. Luego de ello, el troyano termina su acción, pero antes ejecuta el archivo SERVER16.EXE.

Este segundo ejecutable, genera los siguientes archivos, los que contienen la configuración del servidor:

SYSMON.DRV
NT.INI

También modifica el registro para poder ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
run=C:\WINDOWS\server16.exe

También modifica el archivo WIN.INI, agregando la siguiente línea:

[windows] 
Run=server16.exe

Además crea esta clave en el registro:

HKLM\Software\Microsoft\Windows
AppTitle1="RsApi32"

Luego de ello, utiliza el UIN de ICQ (User Identification Number), 17273518 para enviar al atacante una notificación a través del servicio ICQ World Wide Paging (wwp.ICQ.com). Este es un ejemplo de esa notificación:

From: 1.6.5 Srv16
Subject: Ready for Action
Message: {PORT:[puerto TCP del servidor]}
{Victim: Srv16b4}
{Version:1.6.5}
{Ip:[dirección IP actual de la víctima]}

Luego, permanece residente en segundo plano, como un servicio (un proceso invisible en la lista de tareas, o sea, no aparece cuando usted pulsa CTRL+ALT+SUPR).

La parte cliente del troyano, provee una interface de usuario (UI) para conectarse al sistema infectado. El atacante remoto especifica la dirección IP de la víctima a la que desea conectarse, y el puerto TCP (Transmission Control Protocol), que por defecto es 9400.

Cuando una conexión es establecida, el atacante puede realizar estas acciones en la computadora infectada:

  • Usarlo como host FTP (operando en el puerto TCP 22)
  • Capturar un log con todas las teclas pulsadas por la víctima
  • Activar aplicaciones por medio del envío de combinaciones de teclas
  • Capturar todos los parámetros de las configuraciones RAS (Remote Access Service), o sea los accesos a Internet, etc.
  • Capturar información del sistema
  • Listar todos los procesos que se están ejecutando
  • Capturar la pantalla del monitor de la víctima
  • Mantener una conversación con el usuario infectado (chat)
  • Búsqueda de archivos en los discos de la víctima
  • Subir agregados y actualizaciones (plug-ins)
  • Subir, descargar y ejecutar archivos
  • Borrar archivos y directorios
  • Invertir el contenido de la pantalla
  • Cambiar la configuración del escritorio y los colores del sistema
  • Cambiar la configuración del ratón, invertir botones, etc.
  • Mostrar una barra de inicio y un escritorio falsos
  • Modificar la fecha del sistema
  • Ejecutar sonidos
  • Esconder o reemplazar la bandeja del sistema (System tray)
  • Obtener todos las contraseñas de la víctima
  • Encender y apagar las luces del teclado
  • Controlar las ventanas activas (cerrar, mover, maximizar, minimizar)
  • Apagar y encender el monitor
  • Emitir pitidos (beeps) por el parlante del PC
  • Abrir el explorador de Internet, modificar la página de inicio y el título de la ventana
  • Salir, apagar o reiniciar Windows
  • Cerrar el servidor
  • Cambiar la configuración del servidor

Como sacar el troyano de un sistema infectado

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

run "C:Windows\server16.exe"

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows

5. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

AppTitle1 "RsApi32"

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

8. Si existe alguna referencia a los archivos del troyano en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
Run=server16.exe

Debe quedar como:

[Windows]
run=

9. Grabe los cambios y salga del bloc de notas.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

11. Pinche en Inicio, Buscar, Archivos o carpetas.

12. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

13. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:

MSSECURE.EXE; SERVER16.EXE; SYSMON.DRV; NT.INI

14. Pinche en "Buscar ahora".

15. Si aparecen esos archivos, márquelos.

16. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

17. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

18. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red").

Fuente: Trend Micro

 

Copyright 1996-2001 Video Soft BBS