Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.Latinus. Puede borrar la memoria CMOS
 
VSantivirus No. 701 - Año 6 - Sábado 8 de junio de 2002

 Troj/Backdoor.Latinus. Puede borrar la memoria CMOS
http://www.vsantivirus.com/back-latinus.htm

Nombre: Troj/Backdoor.Latinus
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Latinus, Backdoor.Trojan
Fecha: 7/jun/02
Plataforma: Windows 9x, Me, NT, 2000 y XP

Este troyano permite a un atacante tomar el control vía remota de la computadora infectada, existiendo actualmente numerosas versiones del mismo.

Puede capturar todo lo escrito por la víctima en el teclado de la computadora infectada, y enviar esta información al atacante.

Por defecto, intenta conectarse a través de los puertos 11831 y 29559, pero esto puede ser modificado.

El nombre y los puertos usados varían en cada versión, pero además, el ejecutable puede ser renombrado.

Si el troyano es ejecutado (generalmente se logra esto mediante engaños, haciéndole creer a la víctima que se trata de alguna utilidad, etc.), se producen las siguientes acciones:

1. Se copia a si mismo en la carpeta correspondiente a la variable %System% de Windows (generalmente C:\Windows\System o C:\Winnt\System32), con cualquier nombre seleccionado al azar.

2. Agrega el valor que hace referencia a este archivo, en el registro de Windows para autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

El valor agregado es :

"C:\Windows\System\<Nombre_del_troyano>.exe"

Cuando el atacante crea el archivo servidor (el que envía a su víctima), tiene a su disposición una variedad de funciones que pueden ser agregadas, por ejemplo, el troyano podría:

  • Seleccionar el puerto usado para la conexión con el atacante (por defecto es el 11831 para el control directo y 29559 para la transferencia de archivos).

  • Usar diferentes métodos de notificación para el envío de información de la computadora comprometida al atacante. Por ejemplo, intenta abrir una conexión HTTP a un servidor Web seleccionado por el atacante y enviar información de la víctima a dicho servidor, generando un archivo script. Esta información puede incluir lo siguiente:
  • Notificación de que la víctima está conectada a Internet.
  • El puerto de conexión.
  • El puerto para carga y descarga de archivos.
  • La fecha y hora de la computadora de la víctima.

Si el troyano se activa, el atacante puede tomar el control remoto de la computadora de la víctima, y llevar a cabo acciones como las siguientes:

  • Control total sobre los archivos del sistema.
  • Carga y descarga de archivos desde Internet.
  • Renombrar, borrar, listar y ejecutar cualquier archivo.
  • Mostrar mensajes.
  • Ver la pantalla de la víctima.
  • Registrar en un archivo LOG todo lo tecleado por la víctima.
  • Borrar la memoria CMOS del BIOS.
  • Cambiar la configuración del escritorio (fondos, iconos, esconder reloj, etc.).
  • Controlar el puntero del mouse.
  • Abrir y/o cerrar la bandeja del CD.
  • Apagar o encender el monitor (por medio de las opciones de ahorro de energía, si el monitor lo permite).
  • Habilitar o deshabilitar los beeps (pitidos) de la CMOS.


Forma manual de eliminar el troyano

1. Actualice sus antivirus, y realice un escaneo total de todos los archivos de su computadora.

2. Borre los archivos detectados como el troyano (apunte su nombre).

3. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha busque y borre todos los valores que hagan referencia a los nombres de archivos obtenidos en el punto 2.

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Nota: Además de lo explicado en este artículo, recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS