Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: W32/Zoek@mm. Ejecuta una variante del BackOrifice 2K
 
VSantivirus No. 412 - Año 5 - Viernes 24 de agosto de 2001

Nombre: W32.Zoek@mm
Tipo: Gusano y caballo de Troya
Alias: I-Worm.Zoek.b, I-Worm.Zoek.dll, W32.Zoek@mm
Fecha: 21/ago/01

El gusano, arriba en un mensaje conteniendo el enlace a un archivo ejecutable llamado RESULTS.EXE, el cuál está ubicado en un sitio Web.

Si el usuario descarga y ejecuta este archivo, se activa una puerta trasera en el sistema, a través de la cuál se envía el mismo mensaje a todos los contactos de la libreta de direcciones de Windows.

Cuando el troyano se ejecuta, estos archivos son creados en la computadora infectada:

C:\Windows\System\Tcasutaw.exe
C:\Windows\Accountboy.ini
C:\Windows\Installboy.ini
C:\Windows\Mailboy.ini
C:\Windows\Tcasuta.exe
C:\Windows\Tcasutav.dll

Tcasutaw.exe es el componente backdoor.
Tcasuta.exe es el mailer que envía los mensajes.
Tcasutav.dll es una librería del mailer.

Si el backdoor se activa, el registro sufre estas modificaciones, con la intención de ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
tcasutaw.exe = C:\Windows\System\tcasutaw.exe

Finalmente, envía el mensaje con el enlace visto al principio, a todos los contactos de la libreta de direcciones de Windows.

El backdoor es una variante del Back Orifice 2000, que permite acciones no autorizadas de un atacante en su PC, vía remota.

Para quitar el troyano de un sistema infectado, proceda de esta manera:

1. Ejecute uno o más antivirus al día, y borre todos los archivos identificados como el troyano (W32.Zoek@mm, BackOrifice2k.Variant, etc.).

2. Ejecute el Explorador de Windows (Inicio, Programas, Explorador de Windows).

3. Abra la carpeta C:\Windows

4. En el panel de la derecha, localice los siguientes archivos:

Accountboy.ini 
Installboy.ini 
Mailboy.ini

5. Marque cada uno de estos archivos, y bórrelos pulsando la tecla SUPR. Confirme el borrado.

6. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

3. Pinche sobre la carpeta "RunServices". En el panel de la derecha debería ver algo como:

"tcasutaw.exe"

4. Pinche sobre el nombre "tcasutaw.exe" y pulse la tecla SUPR. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión del troyano con Internet.


Ver también:

12/jul/99 - El Back Orifice 2000, la nueva amenaza que ya está aquí


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

  

Copyright 1996-2001 Video Soft BBS