HKCU\Software\Microsoft\Windows\CurrentVersion\Run
servonce = C:\Windows\System\[nombre al azar].exe

También agrega varias claves en la siguiente rama del registro, las que utiliza para reconocerse a si mismo en la máquina infectada:

HKCU\Software\Microsoft\sds

Luego de su ejecución, el troyano envía a la red una notificación usando una URL del ICQ, dirigida al creador del troyano, con información de la víctima. Esta información será usada por el atacante para conectarse luego a esa máquina.

La computadora infectada puede conectarse a si misma a un servidor IRC privado en España por el puerto TCP/IP 4294967295. Desde este servidor, el administrador es capaz de enviar comandos a la víctima a través de los canales de IRC.

El troyano aguarda esta conexión, permaneciendo a la escucha por el puerto 65535.

Los comandos recibidos, permitirán realizar las siguientes acciones en forma remota en la PC infectada:

• Subir y descargar archivos
• Borrar archivos
• Ejecutar programas
• Listar y crear directorios
• Realizar ataques del tipo "flooding"

Esto último significa literalmente "inundar" (flooding) un servidor con tanta información basura como sea posible causando la caída del mismo. Mediante esta acción, el troyano puede actuar como un "zombie" (3) capaz de participar en un ataque de negación de servicio (4) del tipo DDoS (Distributed Denial of Service) (5), o sea ataques utilizando no una, sino cientos o miles de computadoras sincronizadas, todas actuando al mismo tiempo contra un determinado servidor.

Este tipo de ataque es muy común actualmente, y al final de esta descripción se dan las referencias a otros artículos de nuestro sitio, donde se describen algunos de ellos.

El troyano también puede ser desinstalado en forma remota por el atacante, para no dejar rastros de su presencia luego de realizar su acción.

Finalmente, recuerde que este caballo de Troya se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión del troyano con Internet.

Para eliminar el troyano manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día.

2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, primero desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

servonce        "C:\Windows\System\[nombre al azar].exe"

5. En el panel izquierdo busque la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
sds

6. Pinche en la carpeta "sds" y bórrela.

7. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Glosario:

(1) BOT - Copia de un usuario en un canal de IRC, generado casi siempre por un programa, y preparado para responder ciertos comandos que se le envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea, y sin nuestra intervención directa.

(2) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

(3) ZOMBIE - Una computadora generalmente infectada con un troyano de acceso remoto, capaz de recibir ordenes externas, y de actuar, generalmente en actividades maliciosas, sin el conocimiento de sus dueños.

(4) D.o.S - Un ataque de D.o.S (Denial of Service, o negación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.

(5) D.D.o.S (Distributed Denial of Service) - Ataques de negación de servicio distribuidos. En lugar de una sola computadora, se utilizan cientos o hasta miles de ellas, todas actuando al mismo tiempo contra una misma víctima.


Artículos relacionados:

VSantivirus No. 336 - 9/jun/01 
DoS.Storm.Worm. Ataques zombies contra Microsoft

VSantivirus No. 331 - 4/jun/01
Los nuevos guerreros. ¿Una guerra perdida?

VSantivirus No. 177 - 1/ene/01
¿Está seguro que su computadora no es un ZOMBIE?

VSantivirus No. 151 - 6/dic/00
NAPTHA, todos los sistemas, menos Win2K son vulnerables

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red

VSantivirus No. 222 - 15/feb/01
Trojan.MircAbuser. Convierte a nuestro PC en un zombie


Fuente: Network Associates, Central Command
(c) Video Soft - http://www.videosoft.net.uy