Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.
 
VSantivirus No. 180 - Año 5 - Jueves 4 de enero de 2001

Nombre: Troj_Sub7.Muie
Tipo: Caballo de Troya
Alias: SUB7.MUIE, BackDoor-EP.svr
Variantes: Actualización de BackDoor-G2.svr.21

Se trata de un destructivo troyano, que permite el acceso remoto a la computadora infectada, obteniendo información del sistema, y comprometiendo la seguridad de la red.

Como casi todo troyano clásico, consta de dos partes, el programa cliente y el servidor.

El servidor se instala en la computadora atacada (generalmente es ejecutado por el usuario que se convierte en víctima, engañado sobre el verdadero uso del archivo, y sin tomar precauciones como las de no ejecutar jamás archivos no solicitados recibidos vía e-mail, etc.).

Una vez instalado, y cada vez que la víctima se conecta a Internet, el caballo de Troya se pone a la escucha por el puerto 27374 (por defecto), esperando el acceso de un usuario que esté utilizando la parte cliente del trojan.

Una vez que se establece la conexión, se pueden realizar las siguientes acciones sin el conocimiento del usuario infectado:
  1. Búsqueda de la dirección IP de la computadora atacada.
  2. Captura de la información de dicha computadora y de los datos del usuario.
  3. Captura de todo lo tecleado por el usuario, conectado o no a Internet.
  4. Posibilidades de chat con el host remoto.
  5. Despliegue de ventanas con mensajes.
  6. Espionaje de las conexiones con ICQ, AOL, MSN Messenger y Yahoo Messenger.
  7. Posibilidades de transferencia de archivos, y páginas HTML.
  8. Visualización de las aplicaciones que se están ejecutando y del contenido del clipboard.
  9. Inversión de la pantalla de la máquina atacada.
  10. Visualización del escritorio.
  11. Modificación del protector de pantallas.
  12. Reinicio de Windows.
  13. Ejecución de sonidos.
  14. Inversión de los botones del mouse
  15. Cambio de los colores del sistema, y de la hora y la fecha.
  16. Habilitación o deshabilitación del menú de inicio, la barra de tareas, el monitor, las teclas de Bloq Num, Bloq Mayús (Caps Lock), Bloq Despl (Scroll Lock), la combinación de teclas CTRL+ALT+SUPR y el escritorio de Windows.
  17. Cambios en la configuración del servidor del troyano, por ejemplo, se puede cambiar el puerto por defecto (27374) por otros.

La distribución de este archivo, generalmente se hace en un ejecutable Win32 (PE), simulado en una imagen JPG o BMP.

Cuando se ejecuta el "dropper" (el programa que contiene al trojan), éste instala dos archivos en la carpeta C:\WINDOWS: "RUN.EXE", "WINDOS.EXE" (o "MUEEXE.EXE").

Estos son los nombres por defecto, pero pueden ser cambiados por el archivo de configuración del troyano. El server es identificado por algunos antivirus como BackDoor-EP.svr.

Otros dos archivos asociados con el virus, son el programa de configuración y el cliente usado para comunicarse con el servidor. Estos programas son identificados como BackDoor-G2.cfg y BackDoor-G2.cli. Ambos pueden borrarse sin problemas, ya que no se instalan en el sistema.

Cuando se ejecuta el servidor, el troyano se engancha al sistema en cualquiera de las siguientes cuatro maneras:

1. Agregando el nombre del ejecutable del servidor al archivo WIN.INI (Servidor.EXE es un ejemplo, puede tener cualquier otro nombre):

[Windows].
RUN=C:\WINDOWS\Servidor.EXE

2. Agregando el nombre del ejecutable del servidor al archivo SYSTEM.INI, al final de la línea SHELL= bajo la sección

[boot]
shell=Explorer.exe C:\WINDOWS\Servidor.EXE

3. Agregando el nombre del ejecutable del servidor a las siguientes ramas del registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

4. Modificando la forma en que el sistema operativo ejecuta los archivos .EXE en la siguiente rama del registro:

HKCR\exefile\shell\open\command\(Predeterminado)

Cambiando: "%1" %*
Por: MUEEXE.EXE "%1" %*

Esto causa que el sistema ejecute el programa cargador cada vez que un .EXE es llamado o abierto. El cargador lanza el servidor del troyano, si este no está ejecutándose ya, y luego carga el ejecutable llamado por el sistema en forma normal.

El troyano también registra la extensión .DL como un tipo de archivo ejecutable. Esto permite al atacante descargar archivos en la computadora de la víctima y ejecutarlos.

Como esta extensión no está relacionada normalmente con archivos ejecutables algunos antivirus no los detectarán, y la víctima ignorará su existencia.

Para borrar manualmente este troyano proceda de este modo:

1. Ejecute un antivirus y tome nota de los archivos asociados con el troyano (los nombres de los archivos pueden ser fácilmente modificados por el propio caballo de Troya). No borrar aún estos archivos.

2. Desde Inicio, Ejecutar, teclear COMMAND y pulsar ENTER

3. Debido a la captura de la extensión .EXE por el virus, se deberá renombrar la utilidad REGEDIT.EXE como REGEDIT.COM. Desde la ventana DOS actual (creada en el punto 2), teclear:

REN C:\WINDOWS\REGEDIT.EXE C:\WINDOWS\REGEDIT.COM

4. En la ventana DOS, teclear REGEDIT (y Enter)

5. Borrar las referencias al troyano de las siguientes claves del registro (en la ventana de la derecha):

HKEY_CLASSES_ROOT\exefile\shell\open\command\
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

6. En la siguiente clave:

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

...dejar SOLAMENTE lo siguiente (respetar las comillas):

"%1" %*

7. Si existen, borrar las claves que mencionan el troyano de las siguientes ramas del registro en la ventana de la derecha:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

8. Si existe, borrar la siguiente clave del registro (.dl):

HKEY_CLASSES_ROOT\.dl

9. Confirmar los cambios y salir de REGEDIT

10. Editar con el bloc de notas el archivo C:\WINDOWS\WIN.INI y borrar las referencias al troyano de la línea RUN= en la sección [Windows].

11. Editar con el bloc de notas el archivo C:\WINDOWS\SYSTEM.INI y borrar las referencias al troyano de la línea SHELL= en la sección [Boot] (debe quedar solo EXPLORER.EXE)

Antes:

[boot]
shell=Explorer.exe C:\WINDOWS\Servidor.EXE

Después:

[boot]
shell=Explorer.exe

12. Reiniciar el sistema

13. Borrar los archivos del troyano identificados en el punto 1

Si se recibieran errores en este punto, posiblemente no se realizaron correctamente algunos de los anteriores. En ese caso repita los pasos 1 a 13.

Fuentes: Trend Micro, McAfee


Ver también:
04/dic/99 - Trojan: SubSeven 2.1
03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
12/dic/00 - Trojan: Pillapass. Simula ser un robador de contraseñas
21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven
11/mar/01 - Trojan.SubSeven.2.2. Ultima versión del peligroso troyano

 

Copyright 1996-2001 Video Soft BBS