Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Backdoor.Penrox. Puede tener cualquier nombre de archivo
 
VSantivirus No. 413 - Año 5 - Sábado 25 de agosto de 2001

Nombre: Backdoor.Penrox
Tipo: Caballo de Troya de acceso remoto
Fecha: 21/ago/01

Cuando este troyano se ejecuta y queda como un proceso en memoria, el mismo ignora el nombre del archivo desde el que se ejecutó.

Para no ser identificado fácilmente, este troyano no hace una copia del archivo original, sino que solo usa su contenido. No es consciente por lo tanto de su nombre, y para saberlo (es necesario para modificar el registro como veremos más adelante), utiliza una técnica para averiguar por medio de llamadas a funciones de Windows (GetModuleFileName), tanto el nombre del archivo, como su camino completo.

El nombre del archivo es usado entonces para el siguiente cambio en el registro de Windows que realiza el troyano:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskReg = <camino y nombre del ejecutable del troyano>

Con esta modificación, el gusano se ejecutará en cada reinicio de Windows.

Una vez en memoria, y de haber modificado el registro, el caballo de Troya se conecta a un canal de IRC monitoreado por el atacante que envió el archivo, enviando información de la computadora infectada.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo. Tenga en cuenta que el archivo que lo contiene puede tener cualquier nombre, como ya vimos.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión del troyano con Internet.

Como sacar el troyano de un sistema infectado

Para quitar manualmente el troyano, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

TaskReg

4. Pinche sobre el nombre "TaskReg" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

  

Copyright 1996-2001 Video Soft BBS