Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Troj/Kalshi.A. Utiliza su PC para envío de SPAM
 
VSantivirus No. 1193 Año 7, Lunes 13 de octubre de 2003

Troj/Kalshi.A. Utiliza su PC para envío de SPAM
http://www.vsantivirus.com/kalshi-a.htm

Nombre: Troj/Kalshi.A
Tipo: Caballo de Troya
Alias: Kalshi, Trojan.Kalshi, W32.Kalshi.A@mm, Win32/Kalshi.A
Fecha: 10/oct/03
Plataforma: Windows 32-bit
Tamaño instalador: 106,292 bytes
Puerto: TCP/5190
Reportado por: Symantec

Se trata de un troyano utilizado por los spammers para el envío anónimo de sus mensajes.

Puede ser enviado a su víctima en un paquete instalador, que incluye una herramienta de hackeo conocida con el nombre de "HackDefender", utilizada para ocultar su actividad.

Utiliza el puerto TCP/5190. Este puerto es utilizado también por el AOL Instant Messenger (AIM), aunque este troyano no posee ninguna relación con dicho programa. Si se bloquea este puerto para prevenir el uso del troyano, tampoco funcionará el AIM, si éste estuviera instalado.

Cuando el troyano se ejecuta, crea la carpeta SOM913 en la siguiente ubicación:

c:\program files\windows media player\som913

Luego, copia allí los siguientes archivos:

Msdc.exe
Hxdef073.exe
Hxdef073.ini

MSDC.EXE es el troyano propiamente dicho, mientras que HXDEF073.EXE y HXDEF073.INI, pertenecen a la herramienta "HackDefender" y su archivo de configuración.

El propio troyano ejecuta a HXDEF073.EXE para intentar ocultar su propio proceso activo, las claves registradas y los archivos creados.

La herramienta "HackDefender" solo funciona en Windows NT, 2000, XP y Server 2003. De este modo, aunque puede instalarse también en equipos con Windows 95, 98 y Me, en estos casos no funcionará luego de la instalación.

El troyano intentará conectarse con el sitio HOTMAIL.COM, aparentemente solo para comprobar si existe una conexión a Internet activa.

Después, se conectará por el puerto TCP/5190 a una lista de servidores predeterminada en su código, para enviar dos comandos. Uno es para solicitar una lista de direcciones de correo, y el otro para pedir un mensaje de correo previamente creado.

Esta información es guardada en dos archivos diferentes:

Mail.txt
Mails.txt

Procede luego a buscar el registro MX (Mail eXchange), en el servidor DNS por defecto de la máquina infectada (Mail eXchange habilita preguntas de registros MX de un servidor de nombres de dominio o DNS, para resolver las direcciones de correo y que se puedan rutear los mensajes en el servidor devuelto). A través de este servidor, envía el mensaje descargado, a la lista de direcciones también descargada antes.

Al final de ese proceso, borra los archivos MAIL.TXT y MAILS.TXT, y vuelve a conectarse al servidor predeterminado. Si un nuevo mensaje y una nueva lista de direcciones están disponibles, el troyano los descarga y reitera los pasos vistos antes.

Los mensajes que envía como spam el troyano desde la computadora infectada, poseen un remitente falso, creado a partir de dos listas de componentes (una de nombres y otra de dominios), incluidas en su propio código. La lista de nombres parece haber sido tomada de un grupo de noticias, y la de dominios incluye algunos normalmente utilizados con propósitos anti-spam.


Reparación manual

Debido a las características de ocultamiento provocadas por la herramienta "HackDefender", para remover manualmente este troyano, se deberá proceder de la siguiente manera:

1. Deshabilite la herramienta "Restaurar sistema" (Windows XP)

Para deshabilitar "Restaurar sistema" proceda como se indica en este artículo:

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

2. Actualice su producto antivirus con las últimas definiciones de virus.

3. Reinicie su computadora en modo seguro.

Para ello, siga las instrucciones del siguiente artículo:

Cómo iniciar su computadora en Modo a prueba de fallos
http://www.vsantivirus.com/faq-modo-fallo.htm

4. Utilice la opción "Inicio", "Buscar" de Windows, para localizar el siguiente archivo:

REGEDIT.EXE

5. Con el botón derecho sobre REGEDIT.EXE, seleccione "Cambiar el nombre" y escriba:

HXDEF1.EXE

6. Desde Inicio, Ejecutar, escriba HXDEF1.EXE y pulse Enter

7. Abra la siguiente rama del registro (en el panel izquierdo del editor, pinche en el signo "+"):

HKEY_LOCAL_MACHINE
\System
\ControlSet001
\Services

8. Pinche en la carpeta "Services" y en el panel de la derecha busque y borre la siguiente entrada:

MassSender

9. Abra la siguiente rama del registro:

HKEY_LOCAL_MACHINE
\System
\ControlSet002
\Services

10. Pinche en la carpeta "Services" y en el panel de la derecha busque y borre la siguiente entrada:

MassSender

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. Utilice la opción "Inicio", "Buscar" de Windows, para localizar el siguiente archivo:

HXDEF1.EXE

13. Con el botón derecho sobre HXDEF1.EXE, seleccione "Cambiar el nombre" y escriba:

REGEDIT.EXE

14. Vuelva a reiniciar su computadora en modo seguro (ver punto 3).

15. Borre la carpeta SOM913 y su contenido de alguna de estas ubicaciones:

c:\program files\windows media player\som913
c:\archivos de programa\windows media player\som913

15. Ejecute su antivirus para localizar archivos infectados y bórrelos.

16. Reinicie normalmente su sistema

17. Si es necesario, vuelva a su estado original los cambios realizados para que su computadora pudiera entrar en "Modo seguro" o "Modo a prueba de fallos", cómo se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos
http://www.vsantivirus.com/faq-modo-fallo.htm


NOTA: Aunque este troyano solo podría funcionar en Windows NT, 2000, XP y Server 2003, de todos modos podría instalarse en equipos con Windows 95, 98 y Me, aunque en estos casos no funcionará luego de la instalación.


Información adicional

Activar ICF en Windows XP (Internet Conexión Firewall)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

4. Seleccione Aceptar, etc.


Instalar ZoneAlarm (todos los sistemas)

ZoneAlarm es un firewall (cortafuego) que detendrá y advertirá la conexión de cualquier programa no autorizado hacia Internet, así como cualquier intento de acceder a nuestro sistema por cualquier puerto no autorizado. La principal ventaja es su facilidad de configuración. En principio cierra todos los puertos, y el usuario solo debe decidir a que aplicación desea autorizar una conexión.

ZoneAlarm posee una versión personal de uso gratuito.

Para instalar y configurar ZoneAlarm, siga los pasos del siguiente artículo:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS