|
VSantivirus No. 619 - Año 6 - Lunes 18 de marzo de 2002
Troj/PSW.Johar. Troyano liberado por el D.I.R.T.
http://www.vsantivirus.com/johar.htm
Nombre: Troj/PSW.Johar
Tipo: Caballo de Troya
Alias: DIRT, TROJ_PSW.JOHAR.A, Trojan.PSW.Johar, PSW.JOHAR,
JOHAR
Fecha: 5/feb/02
Tamaño: 71,159 bytes
Este caballo de Troya roba información de la computadora infectada y lo envía al autor del mismo. Estos datos son nombre de la computadora, dirección IP y contraseñas.
En setiembre de 1998, advertíamos de este troyano, llamado D.I.R.T. (siglas para Data Interception by Remote Transmission).
El mismo parece estar disponible solo para agentes de la ley, militares y organismos gubernamentales.
D.I.R.T. actúa como caballo de Troya, del mismo modo que programas como el Back Orifice, el NetBus o el SubSeven entre otros, y que una vez instalado en una computadora permite transmitir a quien lo controla un registro de todas las teclas pulsadas en ella, a través de un e-mail enviado secretamente.
El troyano JOHAR, parece ser parte del D.I.R.T. (ver artículo completo sobre el
D.I.R.T.).
Cuando se ejecuta, el troyano libera la imagen JOHAR.JPG. Utiliza el visor instalado por defecto en la computadora infectada (Internet Explorer o un visor como IrfanView o ACDSEE por ejemplo), para abrir el archivo, mientras oculta el resto de sus actividades ilegales.
Mientras el usuario ve la imagen, el troyano ya empezó su actividad copiándose a si mismo como
DESKTOP.EXE en la carpeta de Windows. También libera un archivo llamado
DESKTOP.DLL.
En Windows 9x, Me:
C:\Windows\DESKTOP.EXE
C:\Windows\DESKTOP.DLL
En Windows NT/2000:
C:\WinNT\DESKTOP.EXE
C:\WinNT\DESKTOP.DLL
Luego, agrega lo siguiente al registro de Windows, de modo de poder autoejecutarse en próximos reinicios:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Desktop = C:\Windows\DESKTOP.EXE
Luego, el troyano ejecuta el archivo recién creado,
DESKTOP.EXE como un proceso separado y borra la primer copia que ejecutó.
La nueva versión del DESKTOP.EXE permanece en memoria obteniendo datos de la computadora como nombre de la misma, dirección IP y contraseñas.
Esta información es guardada en el archivo DESKTOP.LOG, archivo que luego es enviado vía SMTP a la dirección del presunto autor del virus:
antropos@ematic.com
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por Troj/PSW.Johar, JOHAR o similar.
4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):
C:\Windows\DESKTOP.EXE
C:\Windows\DESKTOP.DLL
C:\WinNT\DESKTOP.EXE
C:\WinNT\DESKTOP.DLL
5. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada
DESKTOP.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Referencias:
VSantivirus No. 619 - 18/mar/02
D.I.R.T. El Spyware desenmascarado en la red
http://www.vsantivirus.com/dirt.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|