Discreta sugerencia la de tibur... :D yo tb soy de la opinion de que puedes tener alguna cosilla de inquilino en tu pc. Como ya te han comentado y muy bien mis compañeros pasate el AD AWARE actualizado y nos comentas. He estado mirando algo para ti.igual te interesa. te lo pego.espero que te sirva. si no fuese esto pos ya hemos aprendido un poco mas. Creo que tiene un lenguaje sencillo y se puede entender bien.
Troyano CGI BioNETEste troyano es junto con el Sub7 uno de los más potentes y de los que mayor dificultad entraña a la hora de su eliminación. Es un troyano desarrollado en Noviembre de 1999, aunque existen varias versiones posteriores. Es de origen británico y está escrito en lenguaje Delphi.
Hasta hace poco era uno más entre otros tantos troyanos. Sin embargo desde las versiones v3.12 y las v3.13 este troyano backdoor ha supuesto una pequeña revolución dentro del mundo de los troyanos. Está desarrollado con unos métodos de compresión distintos a los de los troyanos tradicionales y han sido incluidas nuevas herramientas que le permiten actuar bajo cualquier sistema operativo de Windows.
Vamos a echar un vistazo a este pedazo de troyano para darnos cuenta de con qué enemigo podríamos llegar a enfrentarnos.
Para comenzar diremos que este troyano tiene capacidades de acceso remoto (RAT), de keylogger (capturar las teclas pulsadas y guardarlas en un archivo log), robo de claves, troyano de ICQ, troyano de AOL y capacidad de cometer ataques DoS (negación de Servicio). Se aprovecha de bugs de todos los sistemas operativos Windows. A saber:
Win95, Win98, WinMe, WinNT, Win2000 y la beta del WinXP (Enlaces de Seguridad no ha podido confirmar si actúa o no sobre el WinXP final).
El troyano consta de cuatro componentes: el cliente, un editor, un archivo de librerías y el servidor del troyano. La comunicación entre servidor y cliente se produce por medio de una conexión TCP/IP a través de un puerto. El puerto por defecto del BioNet es el 12349, si bien el puerto es configurable y se puede configurar el troyano para que actúe desde cualquier puerto de comunicación. El nombre del servidor, por defecto, es Libupdate.exe, pero también se puede renombrar, dificultando así su detección.
Este troyano solo se activa cuando se produce la conexión a internet, y no al arrancar el sistema, como ocurre con la mayoría de los troyanos.
Como habilidades principales se pueden destacar:
Posibilidad de realizar ataques DoS desde el PC infectado.
Notificación por ICQ.
Robo de usuarios AOL.
Configurable por medio de un editor.
Keylogger (captura de teclado).
Ejecución del servidor retardada (mayor invisibilidad).
Notificación de IPs estáticas.
Utilización de puertos aleatorios.
Desconexión de las comunicaciones del PC infectado.
Captura de pantalla.
Captura de WebCam.
Varias funciones IRC.
Descarga/subida/copia/borrado/búsqueda/ejecución,... etc de ficheros.
Mostrar imágenes, ejecutar sonidos.
Capturar la caché del IExplorer.
Activar el IExplorer y navegar desde él.
Control del altavoz interno.
Mostrar/ocultar el reloj del sistema.
Notificaciones CGI avanzadas.
Manejo y capacidad de mover las ventanas.
:arrow:
Control del ratón.Información del sistema.
Matrix chat.
Escaner de puertos.
Lanzamiento de ataques IGMP a 5 objetivos a la vez.
Apagar, dormir el PC atacado.
Acceso al sistema de colores de la pantalla.
Control de la impresora.
Redireccionamiento de puertos
Desinstalación remota desde una URL (el archivo de desinstalación se baja desde ella y se ejecuta).
Grabación de sonidos.
Cliente FTP.
Robo de UIN del ICQ y captura de nombres de AOL.
Acceso al administrador del sistema.
Acceso al CD-ROM.
Pero lo que realmente destaca en este troyano es su capacidad defensiva.
VAIS A FLIPAR CON ESTO (':roll:')
Incorpora un sistema de defensa frente antivirus, antitroyanos y firewall, cada vez más frecuente en los troyanos, imitando esta característica de algunos virus. Con este sistema se puede desactivar el software de seguridad del PC atacado, hecho éste del que avisa el troyano a quién lo maneja (cliente el troyano). Este hecho dificulta aún más la detección del troyano en un ordenador infectado, por lo que volvemos a incidir en que la prevención es la mejor arma contra los troyanos. Ante esta capacidad del troyano no existe hoy en día un método de defensa, al menos hasta que Microsoft rediseñe sus sistemas Windows o saque algún parche a tal efecto.
La forma que tiene este troyano de desactivar las distintas aplicaciones de seguridad que se tengan activadas es a través de un exploit que le permite acceder a la función "Terminate Process" de Windows, la cual permite terminar cualquier aplicación que se esté ejecutando sin siquiera avisar al programa afectado. Si Windows no avisa, el programa terminado no puede protegerse de su desactivación. Es por ello que el fallo de seguridad lo tiene que solventar Windows y no los programas de seguridad. Una vez que el programa ha sido desactivado está expuesto a manipulaciones o corrupciones por parte del atacante.
El troyano incluye una lista de aplicaciones sobre las cuales puede actuar para desactivarlas. Esta lista se encuentra en el fichero AVPS.TXT y en ella se encuentran los siguientes programas:
Antivirus/Firewall que se pueden desactivar:Norton Internet Security (NIS)
Panda
Antitrojan
ANTS
Atguard
Blackice
Conseal pc
ZoneAlarm
Cleaner3
Lockdown
Sphinx
Mcafee Internet Guard
WinRoute
Antivirus/firewall que se pueden corromper:AT Guard
WinRoute
McAfee Internet Guard
Cleaner
Conseal pc
Nos encontramos pues frente a la antesala de los nuevos troyanos, que son ya una realidad. En el caso concreto del BioNet, los chicos de Nsclean (BOClean) se han puesto las pilas y han desarrollado su nuevo BOclean 4.07 teniendo en cuenta a este troyano. Parece ser que este troyano configurado por defecto es detectado y eliminado por dicha aplicación.
ELIMINACIÓN MANUAL DEL BioNet.Si ha sido configurado por defecto, el servidor se llamará
LIBUPDATE.EXE. Si ha sido renombrado, habrá que deducir cuál es el nuevo nombre. Una vez localizado el servidor del troyano nos fijaremos en su ubicación en el disco duro (hecho éste que se aprecia en la entrada de registro en cuestión). Así como en la eliminación de casi todos los troyanos lo primero que se hace es eliminar la entrada de registro asociada al servidor del mismo, en el caso de este troyano hay que hacer una pequeña variación. No se puede eliminar la entrada si el servidor está activo, y éste pudiera ser el caso del Bionet. Al solicitar la eliminación se avisará de este hecho y Windows propondrá un reinicio del sistema para arrancar el mismo sin esa entrada de registro activa. Se reiniciará entonces el sistema y se pasará ahora a eliminar la entrada de registro en cuestión. Después se procederá a la eliminación del servidor del troyano.
Parece ser que con este troyano se ha probado con éxito un método inverso al normal. Es decir, eliminar primero el servidor del troyano y después la entrada de registro.
De todas formas, siguiendo el sistema que se siga, aconsejamos que, cuando se vaya a proceder a la eliminación del servidor del troyano, se inicie el PC desde un disquete de arranque. Una vez inicializado el sistema, iremos, en modo DOS, hasta "C:\Windows". Ya allí teclearemos attrib libupd~1.exe -h" para hacer visible al archivo en cuestión ya que por defecto se instala oculto y, una vez lo tengamos a tiro... "del libupd~1.exe"
Bien, la entrada de registro que manipula el troyano en su instalación es la típica
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Allí tendremos que borrar la línea tal que: WinLibUpdate =
"c:\windows\libupdate.exe -hide"Aquí se puede observar que dicho archivo está oculto (hide). Al menos esta sería su configuración por defecto. Una vez borrada la entrada de registro deberemos reiniciar el equipo.
Como casi todos los troyanos, el BioNet no aparece en la lista de tareas en ejecución de Windows, por lo que habrá que localizarlo desde el registro del sistema.
Nos estamos refiriendo en especial al caso en que el servidor del troyano haya sido renombrado y, por lo tanto, no se llame libupdate.exe.Nota: La eliminación de este troyano puede causar un destrozo en el registro de Windows, por lo que se recomienda hacer una copia de seguridad del mismo antes de proceder a manipular el mismo.
