|
VSantivirus No. 515 - Año 6 - Miércoles 5 diciembre de 2001
Nombre: Troj/Ptsnoop
Tipo: Caballo de Troya
Alias: Ptsnoop, Backdoor.Ptsnoop
Ptsnoop.exe, normalmente es un driver que instalan los módems PCTel, HSP, y otros. Extrañamente, no es necesario que Ptsnoop esté instalado para que estos módems funcionen, pudiendo ser borrado, como veremos más adelante.
Recientemente ha sido reportado un troyano que habilita una puerta trasera en la computadora infectada, y que tiene el mismo nombre que el driver mencionado al principio.
Escrito en Visual Basic, cuando se ejecuta, este troyano busca alguna conexión a Internet (RAS) activa. Si no la encuentra, finaliza su ejecución.
Si existe una conexión hecha, el troyano se instala en el sistema, copiándose a si mismo como
PTSNOOP.EXE en la carpeta \Windows\System\. Luego modifica el archivo
WIN.INI, agregándose en la entrada LOAD= bajo la etiqueta
[Windows]:
[Windows]
Load=C:\Windows\System\Ptsnoop.exe
Para modificar WIN.INI, el troyano primero copia este archivo como
WIN.ANA, modifica la entrada que vimos (Load=), borra a
WIN.INI original y renombra a WIN.ANA como WIN.INI. De este modo, el troyano se ejecutará en cada reinicio de Windows.
Una vez activo, intenta conectarse a los siguientes sitios:
http://setway.cjb.net
http://setway1.cjb.net
http://setone.cjb.net
Si la conexión tiene éxito, el troyano coloca el cursor del ratón en determinada área, y permite al atacante o a un script en los sitios mencionados, controlar los movimientos del ratón y la posición de las ventanas.
La razón para hacer esto no está clara, ya que los sitios mencionados han sido dados de baja o modificados.
La idea podría haber sido conseguir que la víctima pulsara el botón del ratón en ciertas áreas de un sitio, para bajar o ejecutar un script o un archivo binario.
El troyano puede eliminarse quitándolo del inicio, mediante la modificación del archivo
WIN.INI (Load=).
Ante la duda, esto puede hacerse incluso si se tiene el verdadero archivo PTSNOOP.EXE instalado. Para entender esto, veamos que hace el PTSNOOP real.
El verdadero PTSNOOP.EXE
La función de este archivo es estar pendiente de que algún programa solicite el uso de determinado puerto usado por el módem, para poder asignarle los recursos del sistema necesarios al establecerse una conexión, y si fuera necesario, para decidir instalar los drivers del módem (estos módems, del tipo Winmodem, crean un puerto por software, no físico, utilizando los recursos del procesador para funcionar).
Técnicamente, se trata de un "virtual port snoop", un archivo que monitorea el puerto comúnmente llamado "AMR port" o Audio Modem Riser, usados por ejemplo por los típicos módems integrados a las placas.
Como curiosidad, Ptsnoop puede provocar en ocasiones un error muy común al intentarse el uso del módem: la aparición del mensaje "el puerto ya está abierto" o similar, y la imposibilidad de conectarse. Casi siempre, ello se debe a que
PTSNOOP no ha liberado el puerto para el uso del módem.
Físicamente, se trata de un TSR (un programa de DOS que queda residente en memoria), ocupando casi un mega.
Algunos antivirus (McAfee y Norton), solían confundirlo en algunas de sus versiones, con un troyano, por su tipo de actividad, ya que actúa cuando se intenta establecer una llamada vía módem para conectarse. La existencia del troyano que describimos en este informe, debe ponernos en alerta, aún cuando no fuera el caso.
Por otra parte, PTSNOOP puede ser descargado sin que el módem tenga problemas (al menos en la mayoría de los casos).
Para eliminarlo, busque y borre todos los archivos PTSNOOP.EXE que aparezcan en su PC.
Edite el archivo C:\WINDOWS\WIN.INI con el bloc de notas o con
SYSEDIT, y borre las referencias a este archivo en LOAD= o
RUN=, de modo que la entrada quede así:
[Windows]
Load=
Ejecute el REGEDIT y busque esta rama:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Si aparece PTSNOOP en la ventana de la derecha, borre dicha entrada.
Para eliminar el troyano PTSNOOP.EXE
Ejecute un antivirus al día, y luego proceda de la misma manera que se acaba de indicar para sacar del archivo
WIN.INI el verdadero PSTSNOOP.EXE. Borre el archivo
PTSNOOP.EXE.
El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Fuente: F-Secure
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|