Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.Seamy. Muestra una animación de 'Stitch'
 
VSantivirus No. 788 - Año 6 - Miércoles 4 de setiembre 2002

 Troj/Backdoor.Seamy. Muestra una animación de 'Stitch'
http://www.vsantivirus.com/back-seamy.htm

Nombre: Troj/Backdoor.Seamy
Tipo: Caballo de Troya (backdoor)
Alias: Backdoor.Seamy, BackDoor-AJH, TROJ_RODASIVA.A, Backdoor:Win32/Stitch, W32/Stitch
Fecha: 23/ago/02
Tamaño: 157,184 bytes
Plataforma: Windows 32-bits

Este troyano, escrito en Visual Basic 5, posee características de backdoor (acceso no autorizado por una puerta trasera), habilitando a un atacante el acceso y control de la computadora infectada a través de Internet.

El gusano utiliza para engañar al usuario, dos imágenes del personaje 'Stitch', tomadas de la más reciente película animada de los estudios Disney, Lilo & Stitch.

El troyano tiene las funciones básicas de cualquier troyano, tales como obtener información del usuario y de la computadora, abrir y cerrar la bandeja de la lectora de CD, esconder iconos o la bandeja de sistema, etc., además de descargar y ejecutar archivos en forma remota. No posee otra carga destructiva.

Cuando el usuario es engañado para ejecutarlo, el troyano muestra una animación con la sucesión de dos imágenes del personaje Stitch, junto a un texto en portugués, y al encendido rítmico de las luces del teclado (NUM LOCK, CAPS LOCK y SCROLL LOCK).

Cuando el usuario es engañado para ejecutarlo, el troyano muestra una animación con la sucesión de dos imágenes del personaje Stitch, junto a un texto en portugués

Al mismo tiempo, se copia a si mismo en el directorio System:

C:\Windows\System\Tws_32.exe

'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

También modifica el registro de Windows para autoejecutarse en cada reinicio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
atti = C:\Windows\System\Tws_32.exe 2

Una vez en memoria, el troyano queda a la escucha de las ordenes de un atacante remoto, a través de un puerto de comunicaciones abierto a Internet. Un cortafuegos detectaría en este punto su actividad.

El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

Tws_32.exe

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

atti

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.

Nota: Además de lo explicado en este artículo, recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
06/set/02 - Alias: Backdoor:Win32/Stitch, W32/Stitch



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS