Ryejet Troyano que actúa como puerta trasera, permitiendo que un intruso acceda y controle de forma remota el equipo afectado.
Es capaz de ocultar su presencia en el sistema.
Nombre completo: Backdoor.W32/Ryejet
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 284428
Alias:Backdoor.Ryejet (Symantec)
Cuando Backdoor.W32/Ryejet es ejecutado, realizará las siguientes acciones:
Deja en el sistema los siguientes ficheros:
%System%\asr_sdm.exe
%System%\asr_sdmr.exe
%System%\asr_ssmr
%System%\sal.mdb
%System%\rpe.sys
%Windir%\svchost.exe
Notas:
%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
%Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
Crea el servicio MdeRy, asociado con rpe.sys.
Este servicio ofrece funcionalidades de 'rootkit' y además, permite al troyano ser ejecutado cada vez que el sistema es reiniciado.
Nota: Un 'rootkit' es una herramienta que sirve para ocultar actividades ilegítimas en un sistema.
Una vez que ha sido instalada, permite al atacante actuar con el nivel de privilegios del administrador del equipo.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor: "Userinit" = "%System%\userinit.exe,[- número aleatorio de espacios -],,
%Windir%\svchost.exe"
Abre una puerta trasera en un puerto TCP aleatorio e intenta conectarse a un servidor del domino 0503.pass.as para notificar la infección.
Reparación:Desactive restaurar sistema
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el troyano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de la siguiente clave del registro de Windows, el valor indicado:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor: "Userinit" = "%System%\userinit.exe,[- número aleatorio de espacios -],,
%Windir%\svchost.exe"
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4931
