Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj_Sub7.401315. Otra variante del troyano SubSeven
 
VSantivirus No. 166 - Año 4 - Jueves 21 de diciembre de 2000

Trojan: Troj_Sub7.401315
Tipo: Caballo de Troya
Alias: Backdoor-G2.svr.gen, SUB7.401315
Tamaño: 401,315 bytes

Se trata de una variante del servidor del SubSeven, una conocida herramienta usada para ingresar y controlar una computadora de forma remota, sin el conocimiento de su dueño.

El troyano, se instala a si mismo y modifica los archivos del sistema, para poder ejecutarse en cada inicio de Windows. Una vez en memoria, y cuando la víctima se conecta a Internet, envía una notificación a cualquier usuario remoto que use la parte cliente de este troyano, a través del ICQ y abre y se pone a la escucha por el puerto 1032, en espera de las ordenes del cliente.

La primera vez que se ejecuta, el troyano genera una copia de si mismo, con el nombre WINREG.EXE, en la carpeta C:\WINDOWS. Luego modifica el archivo SYSTEM.INI:

[boot]
Shell=EXPLORER.EXE WINREG.EXE

Y también modifica WIN.INI:

[windows]
run=EXPLORER.EXE WINREG.EXE

También agrega esta entrada en el registro, la cuál contiene información encriptada sobre el host y el troyano:

HKEY_LOCAL_MACHINE\HARDWARE\DATA

El trojan se registra a si mismo como un servicio, de modo que se ejecuta en segundo plano, sin ser visible en la lista de tareas (CTRL+ALT+SUPR).

Al igual que otras versiones del SubSeven, el troyano notifica su presencia en la máquina infectada, a través del ICQ, al atacante, y utiliza el puerto 1032 para recibir las ordenes.

Un cortafuegos como Zone Alarm, descripto en nuestro sitio, puede detectar su presencia.

Para eliminarlo, deberá borrar los archivos involucrados, y modificar los archivos WIN.INI y SYSTEM.INI, de modo que las líneas mencionadas anteriormente queden así:

[boot]
Shell=EXPLORER.EXE

[windows]
run=EXPLORER.EXE

También elimine la clave mencionada en el registro.

Por supuesto, jamás ejecute ningún archivo sin antes haberlo revisado con dos o tres antivirus al día, y nunca un archivo adjunto a algún mensaje que usted no solicitó. La principal manera de que su computadora sea víctima de un troyano, es que usted ejecute un archivo sin tomar estas precauciones.

Fuente: Trend Micro

Ver también:
 04/dic/99 - Trojan: SubSeven 2.1
 03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
 12/dic/00 - Trojan: Pillapass. Simula ser un robador de contraseñas
 23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
 29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.
11/mar/01 - Trojan.SubSeven.2.2. Ultima versión del peligroso troyano

 

Copyright 1996-2000 Video Soft BBS