Nuevo Virus: Troj/Backdoor.Assasin. Acceso remoto y borrado de AV


Este caballo de Troya permite el acceso no autorizado a la Pc infectada. Intenta finalizar procesos relacionados con varios ejecutables pertenecientes a conocidos antivirus y cortafuegos. Esta acción no solo deja desprotegido al sistema, sino que causa la inestabilidad y el comportamiento errático de Windows.





Nombre: Troj/Backdoor.Assasin
Tipo: Caballo de Troya
Alias: Backdoor.Assasin, Backdoor.Assasin.10
Fecha: 3/jul/02
Tamaño: 189,440 bytes
Plataformas: Windows 32-bits
Puerto por defecto: 27589

Cuando se ejecuta por primera vez, el troyano despliega un falso mensaje de error con el siguiente texto:

Invalid Jpeg Image

Esto disimula la verdadera naturaleza del archivo, que en realidad es un troyano.

Este se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Una vez activo, el troyano habilita un servidor para permitir el acceso remoto por una puerta trasera al sistema backdoor). Para conectarse habilita varios sockets (un SOCKET es un canal de comunicación que se abre entre un puerto de la computadora local y aquella a la que se conecta a través de la red).

También se copia a si mismo en la carpeta de Windows:

C:WindowsMs spool32.exe

‘C:Windows’ puede variar de acuerdo a la versión de Windows
instalada (C:Windows, C:WinNT, etc.)

Luego, agrega la siguiente entrada al registro, para poderse ejecutar en forma automática luego de cada reinicio del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Ms Spool32 = MS SPOOL32.EXE

También crea la siguiente entrada:

HKEY_LOCAL_MACHINESoftware
TVP,MGNEYU4

Luego crea el siguiente archivo:

C:WindowsMs spool32.dat

Este archivo contiene los nombres de los ejecutables que el troyano intentará quitar de memoria, finalizando sus respectivos procesos.

Esto deshabilita los siguientes ejecutables cada vez que el troyano está activo:

Agentsvr.exe
Ahnsd.exe
Alogserv.exe
Anti-Trojan.exe
Ants.exe
Aplica32.exe
Apvxdwin.exe
Atcon.exe
Atupdater.exe
Atwatch.exe
Autoupdate.exe
Avconsol.exe
Avgserv9.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpm.exe
Avsynmgr.exe
Blackd.exe
Blackice.exe
Cdp.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Cleaner.exe
Cleaner3.exe
Cmgrdian.exe
Css 1631.exe
Defscangui.exe
Defwatch.exe
Drwatson.exe
Fast.exe
Frw.exe
Fsav.exe
Gbmenu.exe
Gbpoll.exe
Guard.exe
Guarddog.exe
Iamapp.exe
Iamserv.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Jammer.exe
Lockdown.exe
Lockdown2000.exe
Luall.exe
Lucomserver.exe
Mcagent.exe
Mcupdate.exe
Minilog.exe
Monsys32.exe
Monsysnt.exe
Moolive.exe
Msconfig.exe
Mssmmc32.exe
Navapw32.exe
Navw32.exe
Ndd32.exe
Netstat.exe
Nprotect.exe
Nsched32.exe
Ntvdm.exe
Nvarch16.exe
Nwtool16.exe
Outpost.exe
Padmin.exe
Pavproxy.exe
Pcfwallicon.exe
Persfw.exe
Poproxy.exe
Pview95.exe
Qserver.exe
Regedit.exe
Rtvscn95.exe
Rulaunch.exe
Safeweb.exe
Shedapp.exe
Sphinx.exe
Spyxx.exe
Ss3edit.exe
Sysedit.exe
Taskmgr.exe
Taumon.exe
Tc.exe
Tca.exe
Tcm.exe
Tds-3.exe
Tds2-98.exe
Tds2-Nt.exe
Trjscan.exe
Update.exe
Vbcmserv.exe
Vbcons.exe
Vpc42.exe
Vptray.exe
Vsecomr.exe
Vshwin32.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Watchdog.exe
Webscanx.exe
Wgfe95.exe
Wradmin.exe
Wrctrl.exe
Wrctrl.exe
Zapro.exe
Zatutor.exe
Zonealarm.exe
_Avp32.exe
_Avpcc.exe
_Avpm.exe


* Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

Ms Spool32

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Ms Spool32

7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).


* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"

Otras noticias de interés:

Los coches modernos son vulnerables a ataques maliciosos
La idea de que unos hackers entren en tu PC es suficientemente preocupante. ¿Qué pasaría si pudiesen tomar control del sistema que controla tu coche mientras estás conduciendo? La amenaza es real y unos investigadores en seguridad lo han comproba...
Lo que sabe Internet de ti
Desde securityartwork.es presentamos un artículo muy interesante además de preocupante donde exponen la captura de la información en diferentes redes sociales así como su posible uso. A continuación el artículo:...
Opera 10.53 corrige falla de seguridad
El mismo día en que Opera Software presentaba la versión 10.52 de su navegador Opera, se descubrió una importante falla de seguridad que permitiría la ejecución de código malicioso en el computador afectado....
Goobuntu se integrará con Ubuntu
El equipo de desarrollo de Goobuntu anunció que después del lanzamiento de su versión 8.04 el proyecto apuntará a integrar muchos de sus cambios dentro de la versión principal de Ubuntu. Así, próximamente Ubuntu incluirá la opción de Sólo ...
Institution FWB 1.1 Un troyano que atraviesa cortafuegos
Hace unos días José Luis López de VSAntivirus nos advertía de un troyano que se dio a conocer en la conferencia anual de hackers llamada DefCon 10 (en una de las anteriores conferencias se presentó el troyano Sub7 DefCon como la versión más av...
Facebook combate las estafas online
La red social es uno de los blancos más frecuentes de phishing. Para erradicarlo, lanzó una dirección de correo electrónico para que puedan reportarse amenazas o intentos de ataque....
Diálogo de descarga del Opera, permite borrar archivos
Una vulnerabilidad ha sido reportada en el navegador Opera, que puede permitir a un usuario remoto el borrado arbitrario de archivos en determinadas circunstancias....
Que tal?, El servidor web de iPlanet visualiza archivos del disco duro
Help Net Security ha publicado que el servidor web de iPlanet se ve afectado por un problema que permite visualizar, de forma remota, el contenido de cualquier fichero del disco duro de la máquina afectada. La vulnerabilidad afecta a las versiones i...
El ciberespacio proporciona consejos para evitar el espionaje digital
Internet no es sólo el mejor medio actual para conseguir ilícitamente información privada. La Red también se está posicionando en contra del espionaje, y muchos sites explican las diferentes técnicas de detección y eliminación de programas es...
Múltiples vulnerabilidades en el programa LinuxNode
Se han descubierto múltilples vulnerabilidades en LinuxNode, un programa contenido en Amateur Packet Radio Node, que pueden permitir a un atacante remoto causar una denegación de servicio o ejecutar código arbitrario en el sistema afectado....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • acceso
  • anonimato
  • anonimo
  • antivirus
  • apache
  • assasin
  • backdoor
  • blog
  • borrado
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • remoto
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troj
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra