Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Web Serve 2. Primer Web/trojan en español 
 
VSantivirus No. 145 - Año 4 - Jueves 30 de noviembre de 2000

Nombre: Web Serve 2
Alias: Web Serve CT
Nombre del servidor: Web Serve
Infecta: Windows 95/98/Me/NT/2000
Servidor: install.exe
Tamaño: 182K
Icono: Clásico de programa instalador
Puerto por defecto: 80 (TCP)

Web Serve 2 es un trojan español escrito en Visual Basic. Creado en principio como complemento del trojan Control Total (Ver: VSantivirus No. 141 - Año 4 - Domingo 26 de noviembre de 2000, Trojan: Control total. Un caballo de Troya en español), ha evolucionado hasta convertirse en un troyano independiente, con característica únicas de Troyano/Web, ya que funciona como servidor HTTP.

Una vez instalado en la computadora de la víctima (el usuario, engañado, ejecuta un archivo recibido por algún medio habitual, usualmente el nombre de este archivo podría ser INSTALL.EXE), el trojan lanza un mensaje de error, mientras modifica el registro para ejecutarse en cada nuevo reinicio de Windows, al mismo tiempo que se copia a la carpeta C:\WINDOWS\SYSTEM con el nombre de INSTLIEX.exe

Las claves del registro agregadas son:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
instalIIex = C:\Windows\System\INSTLIEX.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
instEX = C:\Windows\System\INSTLIEX.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
IIexInstal = C:\Windows\System\INSTLIEX.exe

Una vez activo, el trojan permanece atento a las conexiones a Internet de la máquina infectada. Cuando se establece una, este programa queda a la escucha en el puerto 80, actuando como un servidor HTTP.

Para hacer más fácil la búsqueda de computadoras infectadas por el trojan, el mismo intenta logearse a un servidor IRC. Selecciona para ello uno de estos 5 posibles servidores de origen español:

pegasus.irc-hispano.org
saturno.irc-hispano.org
polaris.irc-hispano.org
irc.tierrared.org
irc.terra.es

Una vez conectado a uno de estos servidores (usualmente al canal "#webCT", pero esto puede ser cambiado), revela la dirección IP de la máquina infectada, permitiendo que esta sea accedida con cualquier navegador.

Las acciones posibles de este trojan en la PC infectada son:

  • Hacer captura de pantalla
  • Listado de ventanas y tareas que se están ejecutando
  • Posibilidad de cerrar estas tareas y ventanas
  • Obtener versión del sistema, cuentas de correo, etc.
  • Envío de mensajes
  • Ejecutar y abrir archivos (EXE, TXT, JPG, etc.)
  • Mostrar y ocultar el mouse
  • Hacer conectar el browser a una dirección indicada
  • Ocasionar el cuelgue de la computadora
  • Mostrar y ocultar el escritorio
  • Mostrar y ocultar la barra de tareas
  • Abrir o cerrar la bandeja del CD
  • Reiniciar Windows
  • Cambiar de canal de IRC para enviar el IP de la víctima

Para eliminarlo en forma manual

Primero, remueva las entradas del registro, siguiendo estos pasos (ATENCION, proceda con cuidado cada vez que haga modificaciones en el registro de Windows):

1) Salga de todos los programas.

2) Vaya a Inicio, Ejecutar.

3) Teclee REGEDIT y pulse Enter.

4) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada: 

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run 

5) Pulse sobre la carpeta "Run". Si en la ventana de la derecha aparece este valor: 

instalIIex

6) Borre la clave completa (marque "instalIIex" y pulse DELETE o SUPR).

7) Conteste que SI a la pregunta de confirmación en cada caso.

8) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada: 

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

9) Pulse sobre la carpeta "RunServices". Si en la ventana de la derecha aparece este valor: 

instEX

10) Borre la clave completa (marque "instEX" y pulse DELETE o SUPR).

11) Conteste que SI a la pregunta de confirmación en cada caso.

12) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada: 

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run

13) Pulse sobre la carpeta "Run". Si en la ventana de la derecha aparece este valor: 

IIexInstal

14) Borre la clave completa (marque "IIexInstal" y pulse DELETE o SUPR).

15) Conteste que SI a la pregunta de confirmación en cada caso.

16) Salga del editor del registro (Registro, Salir).

17) Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.


Borrar los archivos del troyano

1) Pinche en Inicio, Buscar, Archivos o carpetas.

2) Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3) En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:

INSTLIEX.exe

4) Pinche en "Buscar ahora". Windows buscará todas las copias de este archivo en la unidad C:

5) Si aparece, márquelo

6) Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado

7) Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

8) Revise su PC con un antivirus al día.

 

Copyright 1996-2000 Video Soft BBS