Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Troj/Backdoor.OptixPro.10.c. Troyano de acceso remoto
 
VSantivirus No. 912 - Año 7 - Domingo 5 de enero de 2003

 Troj/Backdoor.OptixPro.10.c. Troyano de acceso remoto
http://www.vsantivirus.com/back-optix10c.htm

Nombre: Troj/Backdoor.OptixPro.10.c
Tipo: Caballo de Troya de acceso remoto
Aloas: Backdoor.OptixPro.10.c
Fecha: 3/ene/03
Tamaño: 407,552 bytes
Plataforma: Windows 32-bits
Puerto: 3410

Este caballo de Troya, escrito en Borland Delphi, y comprimido con la utilidad tElock, permite a un atacante el acceso no autorizado a la computadora infectada. Por defecto, este troyano abre el puerto TCP 3410 para recibir las ordenes remotas.

La información que roba el troyano, es interceptada mediante la captura de lo tecleado por la víctima y compromete seriamente su seguridad y privacidad.

Cuando el troyano se ejecuta por primera vez, muestra una ventana de mensajes con el siguiente texto:

Error
Invalid codec detected, possible corrupt .mpg
[    OK    ]

Luego, se copia a si mismo en la siguiente ubicación:

C:\Windows\System\netupd.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Agrega la referencia al valor "C:\Windows\System\netupd.exe" a estas ramas del registro de Windows, lo que hará que se autoejecute en cada reinicio de la computadora:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Crea el siguiente archivo, que contiene el código del troyano:

C:\Windows\Wmmiexe.exe

El troyano localiza la carpeta de instalación por defecto de Windows (C:\Windows o C:\Winnt), y la utiliza como carpeta destino para sus descargas.

Luego cambia la asociación por defecto a los archivos .EXE, de modo que obliga a que se ejecute el virus antes que la utilidad o programa incluido antivirus.

HKLM\Software\CLASSES\exefile\shell\open\command
(Predeterminado) = wmmiexe.exe "%1" %*

Si el sistema operativo es Windows 95, 98 o Me, el troyano modifica los archivos SYSTEM.INI y WIN.INI, agregando lo siguiente:

En System.ini:

[boot]
Shell = Explorer.exe C:\Windows\System\netupd.exe

En Win.ini:

[windows]
Run = C:\Windows\System\netupd.exe

El troyano también intenta deshabilitar la mayoría de los antivirus y cortafuegos conocidos que se estén ejecutando en la memoria de la computadora infectada, finalizando sus procesos.

También intenta acceder al caché de passwords de la computadora local. Este caché contiene contraseñas de accesos telefónicos a Internet, de acceso a sitios privados, etc.

Instala también ganchos (hooks), en una cadena de hooks, para monitorear el sistema en espera de cualquier tecla pulsada o movimiento del puntero del ratón.

El troyano informa de su presencia en la computadora infectada por medio del correo electrónico. Luego queda a la espera de las ordenes respectivas desde la parte cliente, el programa que controla el atacante para obtener el acceso y otras facilidades en la computadora infectada.

Los comandos recibidos permitirán a un atacante cualquiera de las siguientes acciones:

  • Enviar información del sistema infectado, incluyendo contraseñas, nombres de usuario, etc.
  • Robar información de acceso a servicios como AOL Instant Messenger.
  • Controlar la instalación de otras características del propio troyano.
  • Descargar, subir, ejecutar, borrar y modificar archivos. También cambiar sus atributos.
  • Borrar carpetas, modificar sus atributos.
  • Cambiar la página de inicio del Internet Explorer.
  • Imprimir texto, ejecutar archivos multimedia, abrir o cerrar la bandeja del CD, habilitar o deshabilitar el teclado y el ratón, prender y apagar el monitor, emitir beeps, apagar la computadora, etc.
  • Colgar a Windows con una conocida vulnerabilidad que afecta a Windows 95, 98 y Me.


Para eliminar el troyano de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Classes
exefile
shell
open
command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = wmmiexe.exe "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (wmmiexe.exe) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

8. Pinche en la carpeta "RunServices" y en el panel de su derecha, busque y borre la siguiente entrada:

C:\Windows\System\netupd.exe 

9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

10. Pinche en la carpeta "Run" y en el panel de su derecha, busque y borre la siguiente entrada:

C:\Windows\System\netupd.exe

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Editar el archivo WIN.INI y SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[Windows]
Run = C:\Windows\System\netupd.exe

Debe quedar como:

[Windows]
Run =

3. Grabe los cambios y salga del bloc de notas.

4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

5. Busque lo siguiente:

[boot]
Shell = Explorer.exe C:\Windows\System\netupd.exe

y déjelo así:

[boot]
Shell = Explorer.exe

6. Grabe los cambios y salga del bloc de notas

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS