|
VSantivirus No. 950 - Año 7 - Miércoles 12 de febrero de 2003
Troj/Backdoor.SchoolBus.B. Troyano de acceso remoto
http://www.vsantivirus.com/schoolb-b.htm
Nombre: Troj/Backdoor.SchoolBus.B
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.SchoolBus.B, Backdoor.SchoolBus.c
Fecha: 10/feb/03
Plataforma: Windows 32-bits
Se trata de un troyano con funciones de backdoor (acceso remoto a través de una "puerta trasera" de la computadora infectada), con la característica que sus conexiones pueden pasar desapercibidas aún para un usuario cauteloso.
Es capaz de generar una conexión oculta dentro de la red TCP/IP, no pudiéndose apreciar por parte de la víctima su acción, lográndose de este modo, a través de la conexión establecida con otra computadora, la posibilidad de realizar varias acciones sin la más mínima sospecha de la víctima (salvo la notoria aparición de algunas de las acciones que es capaz de realizar, sin la participación directa del usuario afectado, como el abrir y cerrar la bandeja del CD por ejemplo).
El servidor, o sea la parte del troyano que se activa en la computadora a ser controlada, debe ser ejecutado por la propia víctima para que se instale. Como ocurre casi siempre con la mayoría de los troyanos, la víctima es llevada a esto por medio de engaños, haciéndosele pensar de algún modo, que se trata de cualquier otra aplicación.
Una vez que se ejecuta, el troyano realiza las siguientes acciones:
1. Copia parte de su código en el siguiente archivo:
C:\Windows\System\Rundll.exe
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
2. El troyano borra los archivos "Regedit.exe" (editor del registro) y "Msconfig.exe" (configuración del sistema), lo que dificulta su desinfección.
3. Crea los siguientes archivos:
C:\Windows\System\Sysmon.exe
C:\Windows\System\Shell32.exe
C:\Windows\System\Explorer.exe
Éste último es ejecutado por Rundll.exe, y es usado para enviar información al atacante.
4. Agrega la siguiente entrada en el registro para autoejecutarse vía remota:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
rundll = c:\windows\system\rundll.exe
5. Agrega las siguientes entradas al registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\Active Setup\Installed Components\Rundll
rundll = c:\windows\system\rundll.exe
rundll32 = c:\windows\system\rundll32.exe
6. Se copia en la carpeta "VCM" bajo Windows, parte del código del troyano en forma de archivos ejecutables:
C:\Windows\VCM
Cuando el servidor se ejecuta, éste abre un puerto previamente configurado y se mantiene a la escucha de algún programa cliente que se comunique con él. Si se establece una conexión, el atacante podrá realizar estas acciones:
- Abrir y cerrar la bandeja de la lectora de CD.
- Abrir, cerrar, copiar, borrar, mover y grabar archivos y directorios.
- Apertura de una sesión de "chat".
- Borrado de las claves de acceso.
- Cambio de la fecha y hora del sistema.
- Captura de la pantalla del monitor de la víctima.
- Cerrar las aplicaciones abiertas, y cualquier otro tipo de tareas de Windows.
- Conexión y desconexión del monitor.
- Control del ratón.
- Cuelgue o congelamiento de la computadora víctima.
- Desconexión de Internet de la computadora atacada.
- Dificultar la localización del troyano.
- Ejecución de un programa determinado.
- Envío de mensajes.
- Inicio del explorador en una dirección URL por defecto.
- Manipulación del teclado y captura de las teclas pulsadas en el mismo.
- Modificación del papel tapiz del fondo del escritorio.
- Ocultación de la barra de tareas.
- Protección del programa servidor con una contraseña, para restringir su
acceso.
- Total acceso a información confidencial del usuario (claves de acceso, etc.).
El troyano también es capaz de mostrar mensajes en el servidor.
El cliente puede escanear los puertos en una dirección IP determinada en busca de un servidor de SchoolBus activo, y proceder a editar la configuración del mismo.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
4. Borre la carpeta C:\Windows
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Cómo recuperar REGEDIT.EXE y MSCONFIG.EXE
Para quitar el troyano del registro, es necesario la presencia al menos del editor REGEDIT.EXE, por lo que deberá ser reinstalado o recuperado de un respaldo anterior (examine la documentación de su sistema operativo o acuda a un técnico competente que le ayude a resolver el problema sin perder datos valiosos de su computadora).
Editar el registro (si ya recuperó REGEDIT.EXE)
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
rundll
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\Active Setup
\Installed Components
\Rundll
5. Pinche en la carpeta "Rundll" y en el panel de la derecha busque y borre las siguientes entradas:
rundll
rundll32
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|