Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.Tron. Elimina al ZoneAlarm y Tiny Personal
 
VSantivirus No. 699 - Año 6 - Jueves 6 de junio de 2002

 Troj/Backdoor.Tron. Elimina al ZoneAlarm y Tiny Personal
http://www.vsantivirus.com/back-tron.htm

Nombre: Troj/Backdoor.Tron
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Tron, RAT.Tron
Fecha: 4/jun/02
Tamaño: 481 Kb
Plataformas: Windows 95, 98, Me, NT, 2000 y XP
Puertos: 58008 y 58009 por defecto
Fuente: Symantec

Este caballo de Troya permite el acceso no autorizado al sistema infectado. Intentará además, eliminar los procesos correspondientes a los cortafuegos ZoneAlarm y Tiny Personal Firewall (versión 2.0.15.0). De este modo, de instalarse el troyano, el usuario no será advertido por el cortafuego de su presencia.

Note que se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad. Esto hace que pueda tener cualquier nombre (por defecto TRON.EXE pero nada impide que premeditadamente sea renombrado).

Si el troyano es ejecutado por el usuario, se generan las siguientes acciones:

1. Se copia a si mismo en el directorio correspondiente a la variable %Windows%, con los siguientes nombres (en el ejemplo, %Windows% corresponde a C:\Windows):

C:\Windows\[Un_nombre_al_azar].exe
C:\Windows\Grpvinc.cpe

2. Crea este archivo de procesos por lotes (.BAT):

C:\Windows\Tmplnjs.bat

3. Agrega las siguientes líneas al archivo C:\Autoexec.bat (solo Win9x):

PATH=C:\WINDOWS\;%PATH%
tmplnjs
cls

4. Agrega el siguiente valor a las claves del registro de Windows, para ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadOrderVerification = C:\Windows\[Un_nombre_al_azar].exe

5. Intenta acabar con los procesos activos de los siguientes cortafuegos:

ZoneAlarm (todas las versiones)
Tiny Personal Firewall (solo versión 2.0.15.0)

6. Abre los puertos 58008 y 58009 y se pone a la escucha para una conexión. Si la misma es establecida, un atacante puede controlar la computadora infectada, realizando entre otras, las siguientes acciones:

  • Copiar, mover, borrar, cargar o descargar archivos
  • Visualizar los procesos activos
  • Eliminar cualquiera de los procesos activos
  • Abrir o cerrar la bandeja de la unidad de CD
  • Apagar el sistema

Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.


Para eliminar manualmente el troyano

1. Para quitar el troyano de su sistema (puede tener cualquier nombre), utilice un antivirus al día para examinar todos los archivos de su disco duro y borre el o los archivos identificados como Troj/Backdoor.Tron, Backdoor.Tron, RAT.Tron, etc.

2. Borre también los siguientes archivos:

C:\Windows\Grpvinc.cpe
C:\Windows\Tmplnjs.bat

3. Modifique si corresponde (Windows 9x), el archivo Autoexec.bat:

Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

Usuarios de Windows 95, 98 y Me:

3.a. Pulse el botón Inicio y luego Ejecutar

3.b. Escriba lo siguiente y pulse OK:

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3.c. Borre la siguiente línea si ésta existiera:

tmplnjs

3.d. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

LoadOrderVerification

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS