| |
VSantivirus No. 549 - Año 6 - Martes 8 de enero de 2002
Troj/Palukka. Acceso remoto, obliga ataques D.D.o.S
Nombre: Troj/Palukka
Tipo: Caballo de Troya de Acceso remoto
Alias: Backdoor.Palukka
Fecha: 7/ene/02
Este troyano del tipo backdoor (acceso remoto por la puerta trasera), permite el acceso y control de la computadora atacada, a través de los canales de chat (IRC).
Posee un gran número de acciones de control sobre la computadora víctima, entre otros, acceso a todos los archivos y posibilidad de usar dicha computadora como parte de ataques distribuidos de negación de servicio (Distributed Denial of Service, D.D.o.S).
Cuando el troyano Palukka se ejecuta, crea una copia de si mismo en la carpeta de Windows (C:\Windows, C:\Winnt, etc.). Por ejemplo:
C:\Windows\Sysbat.exe
Luego, modifica el registro, para agregar valores que hacen referencia a dicho código, de modo que éste se ejecute por si solo en cada reinicio de Windows.
Para eliminar este troyano de un sistema infectado, proceda a realizar primero con
REGEDIT una búsqueda desde Inicio, Buscar, Archivos o carpetas, de las siguientes claves:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Las entradas Run, RunOnce, RunServices, y
RunServicesOnce, pueden tener referencia al archivo por ej.:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
= C:\Windows\Sysbat.exe
Si es así, borre las entradas que aparezcan en la ventana de la derecha y que hagan referencia al
Sysbat.exe.
Reinicie su computadora, y ejecute uno o más antivirus al día, y luego borre los archivos detectados como "Palukka", etc.
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
También se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
IMPORTANTE:
Si el troyano ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Esto es más crítico en caso de tener la computadora conectada a una red. Por esta razón es imposible garantizar la integridad del sistema luego de la infección. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles):
- Robo o cambio de contraseñas o archivos de contraseñas.
- Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras.
- Instalación de programas que capturen todo lo tecleado por la víctima.
- Modificación de las reglas de los cortafuegos instalados.
- Robo de números de las tarjetas de crédito, información bancaria, datos personales.
- Borrado o modificación de archivos.
- Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima.
- Modificación de los derechos de acceso a las cuentas de usuario o a los archivos.
- Borrado de información que pueda delatar las actividades del atacante (logs, etc.).
Estas acciones solo se indican como ejemplo, pero de ningún modo deben tomarse como las únicas posibles.
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.
Glosario
IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
D.D.o.S (Distributed Denial of Service). Ataques de negación de servicio distribuidos. En lugar de una sola computadora, se utilizan cientos o hasta miles de ellas, todas actuando al mismo tiempo contra una misma víctima, un servidor o cualquier computadora conectada a Internet, la que recibe una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
