Backdoor.W32/OptixPro.12.c

Alias:
Backdoor.OptixPro.12.c (Symantec)

Descripción:
Es un troyano que permite a su creador tener acceso no autorizado al sistema infectado. Por defecto, este troyano abre el puerto 3410. La existencia del fichero Kazza.exe es una indicación de posible infección.

El troyano está empaquetado con UPX v1.05-1.24.

Detalles:
Cuando se ejecuta este troyano hace lo siguiente:

1. Se copia a sí mismo como %System%\Kazza.exe.
   NOTA: %System% es una variable que por defecto vale C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
2. Añade el valor:

   "InternalSystray" = "%System%\Kazza.exe"

   a la clave del registro:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
   CurrentVersion\Run

   de esta forma el troyano se ejecutará cuando se arranque Windows.

3. Pone el valor

   "EnableAutodial" = "00 00 00 00"

   en la clave del registro:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\HardwareProfiles\
   Current\Software\Microsoft\windows\CurrentVersion\Internet Settings

4. Notifica al hacker a través de ICQ.
5. Escucha en el puerto TCP 3410 y espera por comandos del creador del troyano.
6. Detiene procesos de software antivirus y algunas herramientas de monitorización.

Solución:

• Deberán borrarse las claves que insertó el troyano
• Deberá borrarse el fichero %System%\Kazza.exe

Más información acerca de este virus en:

• Symantec

Fuente: red.es