Nuevo Virus: Troj/Backdoor.Assasin. Acceso remoto y borrado de AV


Este caballo de Troya permite el acceso no autorizado a la Pc infectada. Intenta finalizar procesos relacionados con varios ejecutables pertenecientes a conocidos antivirus y cortafuegos. Esta acción no solo deja desprotegido al sistema, sino que causa la inestabilidad y el comportamiento errático de Windows.





Nombre: Troj/Backdoor.Assasin
Tipo: Caballo de Troya
Alias: Backdoor.Assasin, Backdoor.Assasin.10
Fecha: 3/jul/02
Tamaño: 189,440 bytes
Plataformas: Windows 32-bits
Puerto por defecto: 27589

Cuando se ejecuta por primera vez, el troyano despliega un falso mensaje de error con el siguiente texto:

Invalid Jpeg Image

Esto disimula la verdadera naturaleza del archivo, que en realidad es un troyano.

Este se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Una vez activo, el troyano habilita un servidor para permitir el acceso remoto por una puerta trasera al sistema backdoor). Para conectarse habilita varios sockets (un SOCKET es un canal de comunicación que se abre entre un puerto de la computadora local y aquella a la que se conecta a través de la red).

También se copia a si mismo en la carpeta de Windows:

C:WindowsMs spool32.exe

‘C:Windows’ puede variar de acuerdo a la versión de Windows
instalada (C:Windows, C:WinNT, etc.)

Luego, agrega la siguiente entrada al registro, para poderse ejecutar en forma automática luego de cada reinicio del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Ms Spool32 = MS SPOOL32.EXE

También crea la siguiente entrada:

HKEY_LOCAL_MACHINESoftware
TVP,MGNEYU4

Luego crea el siguiente archivo:

C:WindowsMs spool32.dat

Este archivo contiene los nombres de los ejecutables que el troyano intentará quitar de memoria, finalizando sus respectivos procesos.

Esto deshabilita los siguientes ejecutables cada vez que el troyano está activo:

Agentsvr.exe
Ahnsd.exe
Alogserv.exe
Anti-Trojan.exe
Ants.exe
Aplica32.exe
Apvxdwin.exe
Atcon.exe
Atupdater.exe
Atwatch.exe
Autoupdate.exe
Avconsol.exe
Avgserv9.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpm.exe
Avsynmgr.exe
Blackd.exe
Blackice.exe
Cdp.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Cleaner.exe
Cleaner3.exe
Cmgrdian.exe
Css 1631.exe
Defscangui.exe
Defwatch.exe
Drwatson.exe
Fast.exe
Frw.exe
Fsav.exe
Gbmenu.exe
Gbpoll.exe
Guard.exe
Guarddog.exe
Iamapp.exe
Iamserv.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Jammer.exe
Lockdown.exe
Lockdown2000.exe
Luall.exe
Lucomserver.exe
Mcagent.exe
Mcupdate.exe
Minilog.exe
Monsys32.exe
Monsysnt.exe
Moolive.exe
Msconfig.exe
Mssmmc32.exe
Navapw32.exe
Navw32.exe
Ndd32.exe
Netstat.exe
Nprotect.exe
Nsched32.exe
Ntvdm.exe
Nvarch16.exe
Nwtool16.exe
Outpost.exe
Padmin.exe
Pavproxy.exe
Pcfwallicon.exe
Persfw.exe
Poproxy.exe
Pview95.exe
Qserver.exe
Regedit.exe
Rtvscn95.exe
Rulaunch.exe
Safeweb.exe
Shedapp.exe
Sphinx.exe
Spyxx.exe
Ss3edit.exe
Sysedit.exe
Taskmgr.exe
Taumon.exe
Tc.exe
Tca.exe
Tcm.exe
Tds-3.exe
Tds2-98.exe
Tds2-Nt.exe
Trjscan.exe
Update.exe
Vbcmserv.exe
Vbcons.exe
Vpc42.exe
Vptray.exe
Vsecomr.exe
Vshwin32.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Watchdog.exe
Webscanx.exe
Wgfe95.exe
Wradmin.exe
Wrctrl.exe
Wrctrl.exe
Zapro.exe
Zatutor.exe
Zonealarm.exe
_Avp32.exe
_Avpcc.exe
_Avpm.exe


* Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

Ms Spool32

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Ms Spool32

7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).


* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"

Otras noticias de interés:

5 de los 10 virus más peligrosos afectan a Java
Todos los meses G Data SecurityLabs publica un ranking con los 10 virus más peligrosos. En el informe de junio, Java sigue siendo el principal problema de seguridad, ya que 5 de las 10 amenazas más repetidas le afectan directamente....
Exploit Ms-Windows (Boletin MS05-044) Manipulación de transferencias en FTP
frsirt.com ha publicado el exploit (como prueba de concepto) del exploit que permite Manipulación de transferencias en FTP, por ello se deben actualizar los sistemas Windows a la brevedad....
Fallo de seguridad en la app de Instagram para Android
La Oficina de Seguridad del Internauta (OSI) ha informado de la detección de una vulnerabilidad en la aplicación de Instagram. Este fallo de seguridad afectaría tanto a la versión para Android como a la desarrollada para iOS....
IBM detecta 13 mil millones de alertas de seguridad diarias
Los smartphones y el cloud computing son los nuevos focos de interés de los ataques cibernéticos. Desde ataques de phishing hasta falsas alarmas de malware, IBM acaba de publicar un informe en el que asegura detectar 13.000 millones de alertas de s...
BMW apuesta por GNU/Linux en el sistemas electrónicos de sus vehículo
El fabricante bávaro de automóviles y motocicletas solicita la unión del resto de la industria a su esfuerzo por desarrollar una plataforma de software abierta para sistemas electrónicos de vehículos, como la asistencia al conductor o el ocio...
Consiguen reabrir antigua vulnerabilidad de Adobe
Los piratas informáticos están utilizando nuevas artimañas para conseguir que los archivos de PDF maliciosos no sean detectados por la mayor parte de los programas de seguridad....
Proyecto "Libro Libre"
Saludos para la Comunidad del Software Libre. Los invitamos a formar parte del proyecto "Libro Libre" ...
Mandriva One 2006.0 disponible gratuitamente
LiveCD de Mandriva One 2006.0 ya está disponible gratuitamente en el FTP de Mandriva y sus Mirrors. ...
Un millón de euros por inventar la Web
“La web está lejos de haber revelado todo su potencial”, sostuvo el científico británico Tim Berners-Lee, quien recibió en Helsink...
La ingeniería social sigue siendo la amenaza más peligrosa, según Ontinet.com
En numerosas ocasiones hemos hablado de las nuevas amenazas que están surgiendo como consecuencia de la importancia que está adquiriendo Internet en la vida de todos. Fernando de la Cuadra, director de educación de Ontinet.com, afirma que la ingen...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • acceso
  • anonimato
  • anonimo
  • antivirus
  • apache
  • assasin
  • backdoor
  • blog
  • borrado
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • remoto
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troj
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra