Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Troj_Azpr. Troyano camuflado como herramienta
 
VSantivirus No. 191 - Año 5 - Lunes 15 de enero de 2001

Nombre: Troj_Azpr
Tipo: Caballo de Troya
Destructivo: Si
Alias: BackDoor-G2.svr.gen, AZPR
Tamaño: 1,147,299 bytes

Se trata de un destructivo troyano con características de backdoor, adjunto a la herramienta para recuperar passwords en archivos ZIP, llamada "Advanced Zip Password Recovery Tool".

Actúa como servidor, habilitando el acceso remoto de un hacker, a la computadora infectada. Una vez ejecutado, se mantiene en memoria.

Cuando se ejecuta, el troyano crea dos archivos en la carpeta C:\WINDOWS. El primero es una copia de si mismo, y el segundo es un componente detectado por algunos antivirus como Troj_Sub7.Muie (ver VSantivirus No. 180 - Año 5 - Jueves 4 de enero de 2001, Trojan: Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.).

Luego de esto, el trojan crea y ejecuta el verdadero programa que simula ser: C:\WINDOWS\APPL_.EXE. Este archivo es la herramienta original conocida como "Advanced Zip Password Recovery Tool". De este modo el usuario pensará que ejecutó esta herramienta, y no sospechará la presencia del troyano.

Luego, queda residente en memoria, y aguarda los comandos que recibirá desde el cliente (la otra parte de este caballo de Troya, la cuál ejecuta el atacante).

También modifica las entradas del registro necesarias para ejecutarse cuando el usuario corra otros programas.

Para borrar el troyano de su sistema, siga estos pasos:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Hardware
Data

3. Pinche sobre la carpeta "Data" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
CLASSES
exefile
shell
open
command

5. Pinche sobre la carpeta "Command"

6. En la ventana de la derecha, pinche sobre el texto (Predeterminado) para abrir la ventana de edición.

7. En la ventana "Editar cadena", en "Información del valor", borre lo que aparece y teclee lo siguiente (respete incluso las comillas, se aconseja usar "cortar y pegar"):

"%1" %*

8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

9. Pinche sobre la carpeta "Command"

10. En la ventana de la derecha, pinche sobre el texto (Predeterminado) para abrir la ventana de edición.

11. En la ventana "Editar cadena", en "Información del valor", borre lo que aparece y teclee lo siguiente (respete incluso las comillas, se aconseja usar "cortar y pegar"):

"%1" %*

12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

13. Reinicie su PC (Inicio, Apagar el sistema, Reiniciar)

14. Revise su computadora con un antivirus al día.

Recomendamos tener instalado en su PC un cortafuego como ZoneAlarm, que impedirá la acción de éste y otros troyanos similares.

Fuente: Trend Micro


Ver también:
02/nov/00 - Zone Alarm - El botón rojo que desconecta su PC de la red
04/dic/99 - Trojan: SubSeven 2.1
03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
12/dic/00 - Trojan: Pillapass. Simula ser un robador de contraseñas
21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.

 

Copyright 1996-2001 Video Soft BBS