Omega. Permite acceder de forma no autorizada Nombre completo: Backdoor.W32/Omega
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Backdoor.Omega (Symantec)
Omega es un troyano de puerta trasera que permite a un atacante remoto obtener control del equipo infectado.
Cuando Omega es ejecutado se copia con un nombre aleatorio en el directorio de Windows (por defecto, C:\Windows o C:\WINNT)
Añade el valor:
[valor aleatorio] =[Carpeta de Windows]\[nombre aleatorio].exe
a las claves del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
de esta manera el gusano es ejecutado automáticamente cuando el usuario inicia la sesión.
Añade el valor:
"Shell" = "Explorer "[Directorio de Windows] \[nombre de fichero aleatorio].exe""
a la clave del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Intenta terminar procesos de una lista, principalmente de programas de seguridad.
Abre una puerta trasera en un puerto TCP y permanece a la escucha de órdenes de un atacante remoto. Las órdenes pueden permitir al atacante remoto realizar acciones como las siguientes:
Cambiar la configuración del servidor
Subir y bajar ficheros
Renombrar y borrar ficheros y carpetas
Ejecutar ficheros
Listar y parar procesos
Cambiar los títulos de las ventanas
Modificar el registro
Borrar valores y claves del registro
Capturar el contenido de la pantalla
Obtener informciaón del sistema
"Chatear" con la víctima
Solución:Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine el siguiente valor: [valor aleatorio] =[Carpeta de Windows]\[nombre aleatorio].exe
de las claves del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
Restaure el valor: "Shell" = "Explorer.exe"
en la clave del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4649
