Backdoor.W32/Sokacaps

Alias:
Backdoor.Sokacaps (Symantec)

Descripción:
Sokacaps es un troyano de tipo puerta trasera controlado mediante IRC.
Aunque que este troyano permite control remoto básico de la máquina infectada, ha sido diseñado principalmente como una herramiente para llevar a cabo ataques de denegación de servicio.

Está escrito ed Microsoft Visual Basic

Detalles:
Cuando es activado, Sokacaps realiza las siguientes acciones:

1. Intenta conectarse a un servidor y canal IRC específicos.
2. Permite a su dueño hacer que la puerta trasera:
   • Se una a un canal
   • Deje un canal
   • Terminte
   • Pruebe la velocidad de la conexión actual
   • Inicie un ataque DoS contra un servidor
   • Deje de atacar a un servidor.
3. Permite a atacantes remotos manipular la máquina de la víctima, realizando acciones como:
   • Ejecutar una aplicación
   • Descargar un fichero
   • Iniciar un captador de pulsaciones de teclado (keylogger
   • Detener el keylogger
   • Borrar ficheros
   • Obtener información del sistema
   • Obtener una lista de aplicaciones en ejecución
   • Terminar un proceso
4. Crea los ficheros C:\windows\media\csrss.exe y C:\windows\media\csrss.uzy

   Añade la siguiente entrada de autoejecución al registro:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Solución:

• Uso de antivirus actualizado.

Más información acerca de este virus en:

• Symantec

Fuente: red.es