Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.PtakksXP. Troyano de origen español
 
VSantivirus No. 750 - Año 6 - Domingo 28 de julio de 2002

Troj/Backdoor.PtakksXP. Troyano de origen español
http://www.vsantivirus.com/ptakks-xp.htm

Nombre: Troj/Backdoor.PtakksXP
Tipo: Caballo de Troya de acceso remoto (backdoor)
Alias: BKDR_PTAKKSXP.E, PTAKKSXP.E, Backdoor.Ptakks.XP.d, Backdoor.Ptakks.XP.e, Backdoor/Win32.Ptakks.XP.D, Backdoor.Ptakks.3
Fecha: 25/jul/02
Plataformas: Windows 32-bits

Este caballo de Troya de origen español, contiene características que comprometen la estabilidad de los usuarios infectados.

El troyano habilita el acceso remoto a la computadora de la víctima en forma clandestina.

El paquete que lo contiene, está compuesto de un servidor, el editor del servidor y el componente cliente.

A la víctima llega el servidor, un archivo que puede tener cualquier nombre, de unos 200 Kb o 100 Kb. La ejecución de este componente en la computadora de la víctima, generalmente es realizada por medio de técnicas de engaño, con la ayuda de la posibilidad de disfrazarlo con cualquier nombre, icono, y mensaje de error al ser ejecutado.

Todas estas acciones son seleccionadas por el atacante, al crear y editar el servidor.

Una vez instalado en la computadora de la víctima, el atacante puede acceder a ella en forma clandestina, y realizar diversas acciones, como por ejemplo reiniciar o apagar Windows, colgar el sistema, robar contraseñas, ejecutar programas, etc.

El editor del troyano permite configurar las siguientes características:
  • Icono de la aplicación. (Ejemplo: archivo autoextraíble winzipv32.exe)
  • Mensaje y título del mensaje a desplegar al ejecutarse.
  • Forma de autoejecutarse.
  • Nombre del archivo al copiarse en el sistema infectado.
  • Nombre del valor a crearse en el registro para autoejecutarse.
  • Proteger el servidor mediante contraseña (solo el atacante que la sepa podrá acceder al servidor).
  • Registrar y notificar las direcciones IP de los usuarios infectados en el sitio Web de los creadores del troyano.
  • Habilitar la notificación por e-mail y/o ICQ
  • Comprimir el servidor con la utilidad UPX

El componente que se instala en la computadora de la víctima (server), se registra al ejecutarse como un servicio quedando oculto en la lista de tareas activas (no es visible al pulsar CTRL+ALT+SUPR).

De acuerdo a la configuración implementada por el atacante, el servidor despliega una ventana con un mensaje, por ejemplo de error, para engañar al usuario haciéndole creer por ejemplo, que el archivo no funcionó. Por ejemplo:

Header not found
Header file corrupt, if you downloaded this
file from internet, try to download again.

También puede crear una copia de si mismo en la carpeta System con el nombre seleccionado por el atacante y agregando dicho nombre a la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Note que el valor agregado puede ser cualquiera.

Luego libera el archivo WNDATCX.DLL, conteniendo datos encriptados del propio malware en la misma carpeta (generalmente C:\Windows\System\).

Por defecto, el troyano utiliza el puerto 8012 para comunicarse con el cliente.

El cliente del troyano es el programa usado por el atacante para conectarse con la computadora de la víctima a través del servidor instalado en esta. Dicho programa habilita las siguientes acciones:

  • Examinar la conexión con el servidor
  • Cambiar el nombre que identifica al servidor en una máquina en particular
  • Cerrar el servidor
  • Desplegar cajas de mensajes con botones (Aceptar, OK, Si, No, etc.)
  • Desplegar cajas de mensaje para ingresar información
  • Captura de la pantalla de la víctima
  • Reiniciar o apagar Windows o la actual sesión de usuario
  • Colgar al sistema
  • Mover o bloquear el cursor del mouse
  • Acceder a las contraseñas en el caché
  • Acceder a las contraseñas de Windows
  • Desplegar mensajes para logearse a Windows
  • Generar errores de sistema
  • Generar sonidos (beep)
  • Encender el indicador de la disquetera
  • Abrir la bandeja del CD Rom
  • Convertir la pantalla en un puzzle
  • Apagar el monitor
  • Mover la pantalla horizontal y verticalmente
  • Visualizar el contenido de discos duros, carpetas, etc.
  • Buscar archivos
  • Crear directorios
  • Borrar archivos
  • Renombrar archivos y directorios
  • Copiar archivos
  • Ver archivos
  • Subir y descargar archivos
  • Ejecutar archivos en modo visible u oculto
  • Cambiar los títulos de todas las ventanas
  • Mover, esconder o cerrar ventanas
  • Esconder o mostrar la barra de tareas
  • Habilitar o deshabilitar ventanas
  • Terminar un proceso activo
  • Deshabilitar el teclado
  • Habilitar o deshabilitar las teclas CTRL+ALT+SUPR
  • Activar o desactivar un capturador de teclas (keylogger)
  • Visualizar el registro del sistema

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Limpieza manual

1. Ejecute un antivirus actualizado, copie los nombres de los archivos del troyano detectados en un papel.

2. Seleccione Inicio, Buscar, Archivos o carpetas

3. Teclee los nombres obtenidos en el punto 1 y pulse ENTER

4. Borre esos archivos si aparecen

5. Repita el punto 3 para buscar el archivo WNDATCX.DLL y bórrelo. Posibles ubicaciones:

C:\Windows\System\WNDATCX.DLL
C:\Windows\System32\WNDATCX.DLL

6. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con el nombre de algún archivo obtenido en el punto 1, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

Troj/Ptakks.217. Troyano de acceso remoto en español
http://www.vsantivirus.com/ptakks-217.htm

Win32.Ptakks. Troyano en español
http://www.vsantivirus.com/ptakks.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS