| |
VSantivirus No. 204 - Año 5 - Domingo 28 de enero de 2001
Nombre: Troj_Tasmer.B
Tipo: Caballo de Troya
Alias: Trojan_Tasmer.B, Tasmer.B, Backdoor-DV, Backdoor.Tasmer.b, W32/Tasmer.46395, W95/Backdoor.Tasmer.B, Troj/Narnar.B
Tamaño: 46,395 bytes
Es un troyano residente en memoria, que actúa como un cliente servidor de archivos de
IRC (Internet Relay Chat), que se transmite a si mismo a través del canal de IRC
irc.dal.net.
Habilita entonces a un usuario remoto el acceso a los archivos de la computadora infectada, a través del
puerto 46666.
Cuando se ejecuta, el troyano crea la siguiente entrada del registro, para volver a ejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskManager = C:\WINDOWS\SYSTEM\TSKMNGR.EXE
Luego realiza la copia de si mismo como TSKMNGR.EXE en
C:\WINDOWS\SYSTEM y finaliza.
Después de esto, cada vez que Windows se reinicia, el troyano se ejecuta y se mantiene en segundo plano como un proceso (visible en la lista de tareas
--CTRL+ALT+SUPR-- como "TSKMNGR").
El troyano queda a la escucha del puerto TCP (Transmission Control Protocol)
46666 y se "transmite" a si mismo al canal de IRC
irc.dal.net. Una vez activado, actúa como un cliente servidor de archivos de IRC, a través del cuál cualquier usuario remoto con la parte cliente del troyano, podrá acceder a los archivos de la computadora infectada.
El cuerpo del troyano contiene este texto:
tskmngr.exe
Task Manager
ftp -s:c:\flog
%s, %s : USERID : UNIX : %s%c%c
PRIVMSG %s :ctcp <nick> PING 848348, help, getnick
<nick>, getnonick, rnick <nick>!!, sacker time low_port
high_port addy, jacker time ip ip ip etc, stopsack,
stopjack, spawn filename, ftpget EVERYTHING, randnick,
clone, clonedie
PRIVMSG %s :
PRIVMSG %s :%c
MODE %s +i
USER %s %s %s %s %s %s
irc.sprynet.com
efnet.cs.hut.fi
irc.homelien.no
irc.enitel.no
irc.telia.se
irc.ced.chalmers.se
irc.lightning.net
irc.inter.net.il
irc.emory.edu
irc.mindspring.com
irc-e.frontiernet.net
irc.cs.cmu.edu
irc.colorado.edu
irc.powersurfr.com
irc.idirect.ca
irc.total.net
irc.freei.net
irc.idle.net
irc.mcs.net
irc2.home.com
irc-w.frontiernet.net
irc.best.net
efnet.telstra.net.au
irc.concentric.net
irc.nethead.com
PING?PONG!
irc.dal.net
tskmngr.exe
Como sacar el troyano de un sistema infectado
1. Pulse CTRL+ALT+SUPR
2. En Windows 95/98, seleccione de la lista el proceso llamado
"Tskmngr" y pinche en el botón "Finalizar tarea".
En Windows NT, pinche en el Administrador de tareas, y seleccione Procesos. Pinche en el proceso llamado:
TSKMNGR.EXE, y mate (kill) o finalice dicho proceso.
3. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run
5. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:
TaskManager
"C:\Windows\System\Tskmngr.Exe"
6. Pinche sobre el nombre "TaskManager" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Pinche en Inicio, Buscar, Archivos o carpetas.
9. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".
10. En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:
Tskmngr.Exe
11. Pinche en "Buscar ahora".
12. Si aparece ese archivo, márquelo.
13. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.
14. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
15. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.
Fuente: Trend Micro
|
|
