Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/JavaKiller.Trojan. Puede instalar otros troyanos
 
VSantivirus No. 464 - Año 5 - Lunes 15 de octubre 2001

Nombre: W32/JavaKiller.Trojan
Tipo: Caballo de Troya
Alias: W32.JavaKiller.Trojan, Trojan.W32.JavaKiller
Fecha: 11/oct/01
Tamaños: 726,528 bytes, 13,824 bytes, 17,408 bytes, 14,848 bytes, 11,776 bytes, 17,408 bytes, 11,264 bytes

Agrega un caballo de Troya del tipo backdoor (puerta trasera), al sistema infectado.

Además, instala un cliente mIRC y genera numerosos archivos.

La primera vez que el troyano es ejecutado, el mismo crea los siguientes archivos:

C:\Windows\Command\Mirc.ini
C:\Windows\Command\Rundle.exe
C:\Windows\Command\Rundle2.exe
C:\Windows\Command\Rundlls.exe (En realidad es el Mirc.exe)
C:\Windows\Command\Script.ini
C:\Windows\Java\Server\Saw.exe
C:\Windows\Java\Server\Servera.ini
C:\Windows\Java\Server\Serveri.txt
C:\Windows\Java\Server\Servern.txt
C:\Windows\Java\Server\Serverna.txt
C:\Windows\Java\Server\Serverol.ini
C:\Windows\Java\Server\Serveropti.ini
C:\Windows\Java\Server\Serverq.txt
C:\Windows\Java\Server\Serverr.ini
C:\Windows\Java\Server\Servers.ini
C:\Windows\Java\Server\Serverst.ini
C:\Windows\Java\Server\Serverst1.ini
C:\Windows\Java\Server\Serverst10.ini
C:\Windows\Java\Server\Serverst2.ini
C:\Windows\Java\Server\Serverst3.ini
C:\Windows\Java\Server\Serverst4.ini
C:\Windows\Java\Server\Serverst5.ini
C:\Windows\Java\Server\Serverst6.ini
C:\Windows\Java\Server\Serverst7.ini
C:\Windows\Java\Server\Serverst8.ini
C:\Windows\Java\Server\Serverst9.ini
C:\Windows\Java\Server\Servertr.txt
C:\Windows\Java\Server\Serverv.ini
C:\Windows\Java\Server\Servito.reg
C:\Windows\Java\Server\Servito2.reg
C:\Windows\Java\Server\Set.exe
C:\Windows\Java\Server\Sscanner.ini
C:\Windows\Java\Server\Ssetup.ini
C:\Windows\Java\Server\Textdrive.exe
C:\Windows\Java\Server\Updater.ini
C:\Windows\Java\Server\Upscript.ini
C:\Windows\Java\Server\Was.exe
C:\Windows\Java\Server\Serveractua\None

También crea estos cambios en el registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
startwindowskeyuser

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
startwindowskeyuser = rundle2.exe

HKCU\Software\mIRC\date
(Predeterminado)="n~0zL~I@e@7;6@?8B5G@8=><E@F"

HKCU\Software\mIRC\lock
(Predeterminado)="0,0"

HKCU\Software\mIRC\channels
(Predeterminado)=""

HKCU\Software\mIRC\name
(Predeterminado)="MaXiMa NeTwOrK"

HKCU\Software\mIRC\code
(Predeterminado)="G~aLj{J<<<96>A@A@@="

HKU\.DEFAULT\Software\mIRC

HKU\.DEFAULT\Software\mIRC\date
(Predeterminado)="n~0zL~I@e@7;6@?8B5G@8=><E@F"

HKU\.DEFAULT\Software\mIRC\lock
(Predeterminado)="0,0"

HKU\.DEFAULT\Software\mIRC\channels
(Predeterminado)=""

HKU\.DEFAULT\Software\mIRC\name
(Predeterminado)="MaXiMa NeTwOrK"

HKU\.DEFAULT\Software\mIRC\code
(Predeterminado)="G~aLj{J<<<96>A@A@@="

IMPORTANTE:

Si el troyano ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Esto es más crítico en caso de tener la computadora conectada a una red. Por esta razón es imposible garantizar la integridad del sistema luego de la infección. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles):

  • Robo o cambio de contraseñas o archivos de contraseñas.
  • Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras.
  • Instalación de programas que capturen todo lo tecleado por la víctima.
  • Modificación de las reglas de los cortafuegos instalados.
  • Robo de números de las tarjetas de crédito, información bancaria, datos personales.
  • Borrado o modificación de archivos.
  • Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima.
  • Modificación de los derechos de acceso a las cuentas de usuario o a los archivos.
  • Borrado de información que pueda delatar las actividades del atacante (logs, etc.).

Estas acciones solo se indican como ejemplo, pero de ningún modo deben tomarse como las únicas posibles. 

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.

De cualquier modo, y sin olvidar las mencionadas previsiones, se puede sugerir el siguiente plan de acción para un intento de sacar el troyano en forma manual.

Como sacar el virus de un sistema infectado

Ejecute un antivirus al día, y borre todos los archivos detectados como W32.JavaKiller.Trojan o similar por su antivirus.

1. Borre los archivos creados por el virus:

C:\Windows\Command\Mirc.ini 
C:\Windows\Command\Rundle.exe
C:\Windows\Command\Rundle2.exe
C:\Windows\Command\Rundlls.exe
C:\Windows\Command\Script.ini

2. Borre la carpeta "Server" y todos sus archivos:

C:\Windows\Java\Server

Para modificar los cambios en el registro:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run".

4. Si en la ventana de la derecha aparece el nombre "startwindowskeyuser", pinche sobre él y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

6. Pinche sobre la carpeta "RunServices".

7. Si en la ventana de la derecha aparece el nombre "startwindowskeyuser", pinche sobre él y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
mIRC

9. Borre las siguientes entradas:

date
lock
channels
name
code

10. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
.DEFAULT
Software
mIRC

11. Borre las siguientes entradas:

date
lock
channels
name
code

12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, que detendrá y advertirá la conexión del troyano con Internet.

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Fuente: Symantec

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS