Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Backdoor.W32/OptixPro.14

Alias:
Backdoor.OptixPro.14 (Symantec)

Descripción:
OptixPro.14 es un troyano que da a un atacante controlo remoto completo sobre un sistema infectado. Por defecto escucha en el puerto 5555. La existencia de los ficheros mpnldfg.exe o msiexec16.exe es una indicación de posible infección.

Detalles:
Mecanismo de Infección

Cuando OptixPro.14 es ejecutado, realiza las siguientes acciones:

  1. Se copia como %System%\Mpnldfg.exe and %System%\Msiexec16.exe

     

  2. Añade la línea:

    run = %System%\msiexec16.exe

    a la sección [windows] del fichero Win.ini

     

  3. Añade la línea:

    shell= Explorer.exe %System%\msiexec16.exe

    a la sección [boot] del fichero System.ini.

     

  4. Añade el valor:

    "GLSetilT32" = "%System%\msiexec16.exe"

    a las claves del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

     

  5. Añade la siguiente entrada al registro:

    HKEY_CLASSES_ROOT\exefile\shell\open\command
    "(Default)" = "%System%\mpnldfg.exe PASS "%1" %*"

    para ser ejecutado cuando se lanza un fichero .EXE

Opciones de control remoto.

OptixPro.14 permite a su dueño hacer lo siguiente:

  • Opciones especiales:
    • Cerrar la sesión del usuario actual
    • Reiniciar el sistema
    • Apagar el sistema
    • Suspender el sistema
    • Colgar el sistema, provocando que aparezca una pantalla azul.

  • Obtener Información de la puerta trasera
  • Sistema de ficheros:
    • Cargar y descargar ficheros
    • Ejecutar ficheros
    • Crear carpetas
    • Borrar carpetas y ficheros
    • Renombrar ficheros y carpetas
  • Procesos:
    • Listar procesos en ejecución
    • Parar procesos en ejecución
  • Control de ventanas:
    • Minimizar y maximizar ventanas
    • Cambiar títulos de ventanas
    • Cerrar ventanas.
    • Enviar pulsaciones de teclados a ventanas específicas.
  • Registro:
    • Crear claves y valores nuevos.
    • Editar valores.
    • Borrar valores y claves.
  • Servidor FTP: Lanza un servidor FTP en un puerto especificado

     

  • Escáner IP: explora rangos de direcciones especificados.

     

  • Redirección de puertos: Redirije conexiones a un sistema comprometido en un puerto específico a otro ordenador y puerto.

     

  • Robo de Información
    • Información del sistema, como propietario, versión de S.O. y clave, tipo y velocidad de CPU.
    • Contraseñas en caché
    • Contraseñas AIM (AOL Instant messenger)
    • Contraseñas RAS (Accesso telefónico a redes)

     

  • Monitorización del sistema:
    • Vista en vivo de la pantalla del sistema
    • Vista en vivo de lo captado por la Webcam del sistema (si la hubiese)
    • Lanzamiento de un capturador de pulsaciones de teclado.

     

  • Otros
    • Abrir y cerrar la bandeja del CD-ROM
    • Esconder y mostrar el reloj.
    • Apagar y encender el monitor
    • Iniciar y parar el salvapantallas.
    • Activar y desactivar el ratón y el teclado.
    • Producir pitidos en el altavoz del PC.

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados