|
VSantivirus No. 333 - Año 5 - Miércoles 6 de junio de 2001
Nombre: Troj/Warhome.A
Tipo: Caballo de Troya de Acceso Remoto
Alias: TROJ_WARHOME.A, WARHOME.A, WARHOME
Tamaños aproximados: 392,704 bytes (servidor), 807,936 bytes (cliente)
Puertos: 1035 y 23
Es un típico troyano que permite el acceso remoto a una computadora infectada, a través de una puerta trasera (backdoor).
Como todo troyano, consta de dos partes bien definidas. El servidor y el cliente.
El servidor es el que se instala a si mismo en la PC de la víctima, y una vez activo, permite que un atacante, quien controla la parte cliente, en forma remota pueda acceder a los recursos de la computadora atacada. El cliente también puede borrar archivos y carpetas de la víctima.
El troyano utiliza por defecto los puertos 1035 y 23 para establecer la comunicación entre cliente y servidor.
Cuando el servidor se ejecuta, modifica las siguientes entradas del registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Truva = [camino completo]\SERVER.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System-Tray = SERVER.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft scheduling Agent = [camino completo]\SERVER.EXE
El [camino completo] es la ubicación (el
PATH) donde se encuentre físicamente el servidor, lo que dependerá de su forma de llegada a la computadora infectada.
Luego de su instalación, y cada vez que Windows se reinicie, el servidor quedará residente en memoria, esperando una conexión con el cliente, cada vez que se establezca una conexión con Internet.
Por medio de esta conexión, el cliente obtiene los datos como nombre de host o dirección IP (Internet Protocol) de la computadora donde se corre el servidor y se conecta a él.
Una vez establecida la conexión, el atacante puede realizar las siguientes acciones en la máquina infectada, sin el conocimiento de su dueño:
- Crear una sesión FTP para transferencia de archivos
- Listar y terminar (KILL) con la lista de procesos (tareas) en ejecución
- Crear directorios
- Obtener las contraseñas de la máquina atacada
- Ejecutar cualquier programa en esa máquina, incluidos virus y troyanos
- Borra archivos y carpetas
- Abrir y cerrar la bandeja de la unidad de CD-ROM
- Ocultar la barra del menú de inicio, para impedir que el usuario acceda a él
Como sacar el troyano de un sistema infectado
Para quitar manualmente el troyano, ejecute un antivirus al día, y borre todos los archivos infectados.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha identifique cada una de las siguientes entradas:
Microsoft scheduling Agent "[camino]\SERVER.EXE"
System-Tray "SERVER.EXE"
Truva "[camino]\SERVER.EXE"
4. Pinche alternativamente sobre los nombres "Microsoft scheduling Agent", "System-Tray" y
"Truva", y pulse por cada uno de ellos la tecla SUPR o DEL. Conteste afirmativamente cada una de las tres preguntas sobre si desea borrar la clave.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión del troyano con Internet.
Fuente: Trend Micro
(c) Video Soft - http://www.videosoft.net.uy
|
|