Backdoor.W32/Afcore.q
Alias:
Backdoor.Afcore.q (Kaspersky (viruslist.com))
Descripción:
Afcore es troyano de control remoto, o puerta trasera, que aparece
como un fichero .dll con un tamaño de unos 110KB. Tiene numerosas
funciones que dan a los 'malosos' casi control completo de los
ordenadores víctimas.
Detalles:
Esta puerta trasera contine el siguiente texto:
If
you read this, then this program was probably stolen from our
laboratory. Author of this software is not responsible for any
harm that may be caused by incompetent or malicious persons who
use this software possibly running on your machine. Therefore,
please remove this software as soon as possible. Click the
"Start" menu, select "Run", enter there:
rundll32 ,Uninstall and click "OK"
Cuando es ejecutado, el troyano se instala en la secuencia
incremental del NTFS asociado con el catalogo de sistema system32.
La siguiente clave de autoejecución es creada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run (assigned
name) =
rundll32 (ruta al programa de puerta trasera),(opciones)
El nombre se forma con una combinación de símbolos arbitrarios.
Las opciones que se pueden pasar al programa incluyen:
- DebugBreakpoint
- DebugInit
- Init
- InitService
- SpawnedInit
- Uninstall
Para desintalarse de una máquina víctima usa el siguiente comando:
rundll32 ÄÉÓË:\%windir%\system32:(name of the
backdoor.dll file),Uninstall
Cuando el comando de desinstalacíón es enviado, Afcore
se desinstala del registro, pero se mantiene en la secuencia del
fichero. Para eliminarlo de aquí es necesario el uso de una
utilidad especial.
Solución:
- Uso de antivirus actualizado.
Más información acerca de este virus en:
Fuente: red.es |
