Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Ptsnoop. Existe un PTSNOOP verdadero, y otro falso
 
VSantivirus No. 515 - Año 6 - Miércoles 5 diciembre de 2001

Nombre: Troj/Ptsnoop
Tipo: Caballo de Troya
Alias: Ptsnoop, Backdoor.Ptsnoop 

Ptsnoop.exe, normalmente es un driver que instalan los módems PCTel, HSP, y otros. Extrañamente, no es necesario que Ptsnoop esté instalado para que estos módems funcionen, pudiendo ser borrado, como veremos más adelante.

Recientemente ha sido reportado un troyano que habilita una puerta trasera en la computadora infectada, y que tiene el mismo nombre que el driver mencionado al principio.

Escrito en Visual Basic, cuando se ejecuta, este troyano busca alguna conexión a Internet (RAS) activa. Si no la encuentra, finaliza su ejecución.

Si existe una conexión hecha, el troyano se instala en el sistema, copiándose a si mismo como PTSNOOP.EXE en la carpeta \Windows\System\. Luego modifica el archivo WIN.INI, agregándose en la entrada LOAD= bajo la etiqueta [Windows]:

[Windows]
Load=C:\Windows\System\Ptsnoop.exe

Para modificar WIN.INI, el troyano primero copia este archivo como WIN.ANA, modifica la entrada que vimos (Load=), borra a WIN.INI original y renombra a WIN.ANA como WIN.INI. De este modo, el troyano se ejecutará en cada reinicio de Windows.

Una vez activo, intenta conectarse a los siguientes sitios:

http://setway.cjb.net
http://setway1.cjb.net
http://setone.cjb.net

Si la conexión tiene éxito, el troyano coloca el cursor del ratón en determinada área, y permite al atacante o a un script en los sitios mencionados, controlar los movimientos del ratón y la posición de las ventanas.

La razón para hacer esto no está clara, ya que los sitios mencionados han sido dados de baja o modificados.

La idea podría haber sido conseguir que la víctima pulsara el botón del ratón en ciertas áreas de un sitio, para bajar o ejecutar un script o un archivo binario.

El troyano puede eliminarse quitándolo del inicio, mediante la modificación del archivo WIN.INI (Load=).

Ante la duda, esto puede hacerse incluso si se tiene el verdadero archivo PTSNOOP.EXE instalado. Para entender esto, veamos que hace el PTSNOOP real.

El verdadero PTSNOOP.EXE

La función de este archivo es estar pendiente de que algún programa solicite el uso de determinado puerto usado por el módem, para poder asignarle los recursos del sistema necesarios al establecerse una conexión, y si fuera necesario, para decidir instalar los drivers del módem (estos módems, del tipo Winmodem, crean un puerto por software, no físico, utilizando los recursos del procesador para funcionar).

Técnicamente, se trata de un "virtual port snoop", un archivo que monitorea el puerto comúnmente llamado "AMR port" o Audio Modem Riser, usados por ejemplo por los típicos módems integrados a las placas.

Como curiosidad, Ptsnoop puede provocar en ocasiones un error muy común al intentarse el uso del módem: la aparición del mensaje "el puerto ya está abierto" o similar, y la imposibilidad de conectarse. Casi siempre, ello se debe a que PTSNOOP no ha liberado el puerto para el uso del módem.

Físicamente, se trata de un TSR (un programa de DOS que queda residente en memoria), ocupando casi un mega.

Algunos antivirus (McAfee y Norton), solían confundirlo en algunas de sus versiones, con un troyano, por su tipo de actividad, ya que actúa cuando se intenta establecer una llamada vía módem para conectarse. La existencia del troyano que describimos en este informe, debe ponernos en alerta, aún cuando no fuera el caso.

Por otra parte, PTSNOOP puede ser descargado sin que el módem tenga problemas (al menos en la mayoría de los casos).

Para eliminarlo, busque y borre todos los archivos PTSNOOP.EXE que aparezcan en su PC.

Edite el archivo C:\WINDOWS\WIN.INI con el bloc de notas o con SYSEDIT, y borre las referencias a este archivo en LOAD= o RUN=, de modo que la entrada quede así:

[Windows]
Load=

Ejecute el REGEDIT y busque esta rama:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Si aparece PTSNOOP en la ventana de la derecha, borre dicha entrada.

Para eliminar el troyano PTSNOOP.EXE

Ejecute un antivirus al día, y luego proceda de la misma manera que se acaba de indicar para sacar del archivo WIN.INI el verdadero PSTSNOOP.EXE. Borre el archivo PTSNOOP.EXE.

El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.


Fuente: F-Secure

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS