Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Backdoor.W32/Beastdoor.B

Alias:
Win32/Beastdoor.202.B (Enciclopedia Virus (Ontinent))

Descripción:
Este troyano habilita a un usuario malicioso el acceso remoto a una computadora infectada. Su presencia compromete la integridad y la privacidad de la información almacenada, al posibilitar que un atacante pueda tomar el control de la misma.

Detalles:
Un atacante podrá realizar en la máquina infectada, entre otras, las siguientes acciones:

  • Carga y descarga de archivos
  • Ejecución de archivos
  • Terminar procesos
  • Listar todos los archivos del disco duro
  • Modificaciones en el registro
  • El troyano es parte de un kit de construcción, por lo que esta información solo debe ser tomada como referencia.

Está compuesto por dos componentes. El que se copia en la computadora infectada, es el servidor. El atacante es notificado generalmente por IRC de su instalación, y puede entonces acceder a través de él a la computadora infectada, utilizando el segundo componente, el cliente.

Esta descripción se refiere al servidor, el componente que se copia en la computadora del usuario infectado.

El troyano puede arribar al ser liberado por un dropper. Una versión del mismo ha sido distribuida como adjunto a una falsa cura para otro conocido virus, en un mensaje que simula ser enviado por VSAntivirus.com

Cuando el adjunto se ejecuta, puede crear los siguientes archivos en el disco de su víctima (los nombres pueden cambiar):

  • c:\windows\system\msjhfh.com
  • c:\windows\system\dxdgns.dll
  • c:\windows\system\jhfh.blf

El primer archivo es una copia del troyano, y los demás son archivos utilizados por éste.

También puede liberar otra copia de si mismo en el directorio del MSAgent (generalmente \windows\msagent), la carpeta donde Windows almacena los asistentes animados de la ayuda de Microsoft:

  • c:\windows\msagent\mswlta.com

    De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system32").

    Una vez activo, el troyano queda a la escucha de instrucciones, abriendo los puertos 666 o 6070 (por defecto). Esto habilita a un usuario remoto las acciones ya mencionadas.

    Las siguientes claves del registro son creadas o modificadas:

      HKEY_LOCAL_MACHINE
      \Software\Microsoft\Active Setup\ Installed Components
      \{42AC0312-EE51-A3CC-EA32-40AA12E6115C}
      StubPath = c:\windows\system\msjhfh.com

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\policies\Explorer\Run
      COM Service = c:\windows\msagent\mswlta.com

      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Policies\Explorer\Run
      COM Service = c:\windows\msagent\mswlta.com

      HKEY_USERS
      \S-1-5-21-1417001333-1715567821-725345543-1125
      \Software\Microsoft\Windows\CurrentVersion\Policies
      \Explorer\Run
      COM Service = c:\windows\msagent\mswlta.com

    En ocasiones, también puede modificar la siguiente entrada:

      HKEY_CLASSES_ROOT\exefile
      NeverShowExt = ""

    El troyano deshabilita los procesos de autodiscado (RAS AutoDial) y la restauración del sistema en Windows Me, XP y 2000 (System Restore).

    No posee rutina de propagación, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargada de sitios maliciosos, o a través de redes P2P. O como vimos, distribuida en forma de spam en mensajes de remitentes falsos.

Solución:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Edite la siguiente entrada:

  HKEY_LOCAL_MACHINE
  \Software\Microsoft\Active Setup\Installed Components
  \{42AC0312-EE51-A3CC-EA32-40AA12E6115C}
  StubPath = c:\windows\system\msjhfh.com  

3. Borre la entrada: StubPath

4. Edite las siguientes entradas:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
  CurrentVersion\policies\Explorer\Run
  COM Service = c:\windows\msagent\mswlta.com

  HKEY_CURRENT_USER\Software\Microsoft\Windows\
  CurrentVersion\Policies\Explorer\Run
  COM Service = c:\windows\msagent\mswlta.com

  HKEY_USERS
  \S-1-5-21-1417001333-1715567821-725345543-1125
  \Software\Microsoft\Windows\CurrentVersion\Policies
  \Explorer\Run
  COM Service = c:\windows\msagent\mswlta.com

5. En cada una de ellas, borre la siguiente entrada: COM Service

6. Edite las siguiente entrada:

  HKEY_CLASSES_ROOT\exefile
  NeverShowExt = ""

7. Borre la entrada: NeverShowExt

8. Cierre el editor del Registro del sistema.

9. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados