|
VSantivirus No. 145 - Año 4 - Jueves 30 de noviembre de 2000
Nombre: Web Serve 2
Alias: Web Serve CT
Nombre del servidor: Web Serve
Infecta: Windows 95/98/Me/NT/2000
Servidor: install.exe
Tamaño: 182K
Icono: Clásico de programa instalador
Puerto por defecto: 80 (TCP)
Web Serve 2 es un trojan español escrito en Visual Basic. Creado en principio como complemento del trojan Control Total (Ver: VSantivirus No. 141 - Año 4 - Domingo 26 de noviembre de 2000,
Trojan: Control total. Un caballo de Troya en español), ha evolucionado hasta convertirse en un troyano independiente, con característica únicas de Troyano/Web, ya que funciona como servidor HTTP.
Una vez instalado en la computadora de la víctima (el usuario, engañado, ejecuta un archivo recibido por algún medio habitual, usualmente el nombre de este archivo podría ser
INSTALL.EXE), el trojan lanza un mensaje de error, mientras modifica el registro para ejecutarse en cada nuevo reinicio de Windows, al mismo tiempo que se copia a la carpeta C:\WINDOWS\SYSTEM con el nombre de
INSTLIEX.exe
Las claves del registro agregadas son:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
instalIIex = C:\Windows\System\INSTLIEX.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
instEX = C:\Windows\System\INSTLIEX.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
IIexInstal = C:\Windows\System\INSTLIEX.exe
Una vez activo, el trojan permanece atento a las conexiones a Internet de la máquina infectada. Cuando se establece una, este programa queda a la escucha en el puerto 80, actuando como un servidor HTTP.
Para hacer más fácil la búsqueda de computadoras infectadas por el trojan, el mismo intenta logearse a un servidor IRC. Selecciona para ello uno de estos 5 posibles servidores de origen español:
pegasus.irc-hispano.org
saturno.irc-hispano.org
polaris.irc-hispano.org
irc.tierrared.org
irc.terra.es
Una vez conectado a uno de estos servidores (usualmente al canal "#webCT", pero esto puede ser cambiado), revela la dirección IP de la máquina infectada, permitiendo que esta sea accedida con cualquier navegador.
Las acciones posibles de este trojan en la PC infectada son:
- Hacer captura de pantalla
- Listado de ventanas y tareas que se están ejecutando
- Posibilidad de cerrar estas tareas y ventanas
- Obtener versión del sistema, cuentas de correo, etc.
- Envío de mensajes
- Ejecutar y abrir archivos (EXE, TXT, JPG, etc.)
- Mostrar y ocultar el mouse
- Hacer conectar el browser a una dirección indicada
- Ocasionar el cuelgue de la computadora
- Mostrar y ocultar el escritorio
- Mostrar y ocultar la barra de tareas
- Abrir o cerrar la bandeja del CD
- Reiniciar Windows
- Cambiar de canal de IRC para enviar el IP de la víctima
Para eliminarlo en forma manual
Primero, remueva las entradas del registro, siguiendo estos pasos (ATENCION, proceda con cuidado cada vez que haga modificaciones en el registro de Windows):
1) Salga de todos los programas.
2) Vaya a Inicio, Ejecutar.
3) Teclee REGEDIT y pulse Enter.
4) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
5) Pulse sobre la carpeta "Run". Si en la ventana de la derecha aparece este valor:
instalIIex
6) Borre la clave completa (marque "instalIIex" y pulse DELETE o SUPR).
7) Conteste que SI a la pregunta de confirmación en cada caso.
8) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
9) Pulse sobre la carpeta "RunServices". Si en la ventana de la derecha aparece este valor:
instEX
10) Borre la clave completa (marque "instEX" y pulse DELETE o SUPR).
11) Conteste que SI a la pregunta de confirmación en cada caso.
12) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run
13) Pulse sobre la carpeta "Run". Si en la ventana de la derecha aparece este valor:
IIexInstal
14) Borre la clave completa (marque "IIexInstal" y pulse DELETE o SUPR).
15) Conteste que SI a la pregunta de confirmación en cada caso.
16) Salga del editor del registro (Registro, Salir).
17) Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.
Borrar los archivos del troyano
1) Pinche en Inicio, Buscar, Archivos o carpetas.
2) Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".
3) En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:
INSTLIEX.exe
4) Pinche en "Buscar ahora". Windows buscará todas las copias de este archivo en la unidad C:
5) Si aparece, márquelo
6) Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado
7) Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
8) Revise su PC con un antivirus al día.
|
|