Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

BackDoor-G. Un trojan vía e-mail
 
Viernes 28 de mayo de 1999

Nombre: BackDoor.G

El jueves 27, Network Associates Inc. informó haber descubierto un nuevo trojan, similar al Back Orifice, y conocido como "BackDoor-G".

En uno de nuestros últimos comentarios, advertíamos sobre el riesgo de abrir archivos adjuntos no solicitados. La noticia de un nuevo trojan que se está propagando a través de correo electrónico, nos lleva a que cada vez debamos ser más estrictos al recibir archivos adjuntos a un e-mail. Por supuesto, la primer regla es no abrirlo sin revisarlo antes (copiándolo a una carpeta temporal para estar más seguros). Sin embargo, el estar al día con los antivirus es vital para que este consejo pueda darnos cierta seguridad. Por supuesto, la regla infalible, es no abrir jamás archivos adjuntos no solicitados expresamente por nosotros, y borrarlos de nuestro sistema.

Network Associates Inc. (NAI, creadora del antivirus VirusScan) anunció el jueves sobre un "hack tool" (herramienta de hackeo) de control remoto, a la que llamó "BackDoor-G". La misma ha estado extendiéndose a través del correo electrónico, en un archivo adjunto a un mensaje (enviado como "spam", o sea correo basura no solicitado), que dice ser un salvador de pantallas o una actualización para algún juego. Cuando un usuario incauto ejecuta ese archivo (aunque sea precavido y lo revise con un antivirus, si el mismo no ha sido actualizado no mostrará nada extraño), el trojan se instala en su PC, y permite que un hacker tome el control remoto del mismo, cuando se conecta a Internet, tanto bajo Windows 95 o 98.

Este trojan actúa como cualquier otro al estilo del Back Orifice, Netbus, etc.. Pero a diferencia de estos (que se distribuyen a través de Internet como supuestas "herramientas legítimas" para controlar en forma remota una computadora), BackDoor-G no se anuncia a los usuarios como herramienta, por lo que directamente es clasificado como un caballo de Troya, o sea un programa que esconde acciones (y programas) que operan en la computadora de la víctima, sin que esta lo sepa.

Sal Viveros, gerente de marketing de Network Associates (NAI) informó que "BackDoor-G está siendo enviado como spam a través del e-mail". La compañía lo descubrió el miércoles 26.

Sin embargo ayer jueves en la mañana, fue detectada en Francia una nueva variante de este trojan, llamada "Armageddon".

"Muchos clientes de Network Associates abrieron estos archivos adjuntos y expusieron sus sistemas", comentó Viveros, "...y cuando el prometido salvador de pantallas no se ejecutó, ellos llamaron a la compañía".

"Definitivamente este trojan está activo, y lo hemos clasificado como de alto riesgo porque ya hemos detectado muchos casos, sin embargo no estamos seguros donde se originó y tampoco cuán extendido está", explicó Viveros.

NAI describe al "BackDoor-G" como "el último en una cadena de nuevas amenazas híbridas a la seguridad que cada vez hacen más débiles las líneas que separan a los virus, agujeros de seguridad y ataques de códigos maliciosos".

Hasta el momento han sido identificados un salvador de pantallas y una supuesta actualización para un juego.

Su funcionamiento es casi indetectable por el usuario, aunque los archivos que instala en Windows pueden encontrarse fácilmente en sistemas infectados. Este trojan instala 3 archivos en el sistema. en WINDOWS y en WINDOWS\SYSTEM.

El trojan instala un archivo llamado "BackDoor-G.ldr", en la carpeta \WINDOWS, (suele llamarse NODLL.EXE) y actúa como cargador del servidor principal del trojan. Esto lo hace con una línea "Run=" del WIN.INI.

El segundo es el propio trojan, y se llama "BackDoor-G.srv". También se localiza en la carpeta WINDOWS. Esta parte del programa es la que recibe y ejecuta las órdenes a través de Internet. Contiene un DLL (Dynamic Link Library) llamada WATCHING.DLL o LMDRK_33.DLL qué el programa copia en la carpeta WINDOWS\SYSTEM. Puede llamarse SERVER.EXE, KERNEL16.DL o WINDOW.EXE. Este es normalmente el primer archivo que el usuario recibe y contiene las copias de los otros 2 archivos.

WATCHING.DLL o LMDRK_33.DLL, se copia a la carpeta WINDOWS\SYSTEM. Es usado por el programa servidor del trojan para supervisar las conexiones a Internet del software del cliente. Este archivo se identifica como BackDoor-G.dll

El servidor del trojan monitorea entonces en Internet (cuando la víctima se conecta) para conectarse con el cliente (BackDoor-G.dll).

Otros archivos asociados con este trojan son el cliente que se identifica como BackDoor-G.cli y un programa de configuración que se identifica como BackDoor-G.cfg.

Estos nombres solo deben servir como guía, puesto que el programa de configuración puede ser usado para cambiarlos.

La actualización "Data File 4027" y posteriores para VirusScan 4.0.x. del 26 de mayo, ya reconoce este trojan. En nuestra página lo mantendremos informado cuando otros antivirus lo hagan.

  

Copyright 1996-2000 Video Soft BBS