Jinmoze.H
Troyano con capacidad para actuar como puerta trasera y permitir el acceso de un usuario remoto no autorizado al equipo infectado. El atacante puede entre otras cosas, finalizar procesos, capturar pulsaciones de teclado y cerrar servidores.
Muestra por pantalla un interfaz gráfica con botones de acceso a programas conocidos.
Nombre completo: Backdoor.W32/Jinmoze.H
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 159744
Tamaño comprimido (bytes): 48640
Alias:BKDR_JINMOZE.H (Trend Micro), Win32/Nucledor.12.B (Enciclopedia Virus (Ontinent)), Downloader-CN (Otros), Backdoor.Nucledor.12 (Otros)
Detalles de Instalación
Normalmente Backdoor.W32/Jinmoze.H es instalado en el sistema por el usuario.
Deposita una copia de sí mismo en el directorio de instalación de Windows con alguno de los siguientes nombres:
SYSRATY.EXE
SYSRTAY.EXE
Nota: El directorio de instalación de Windows es variable, siendo por defecto C:\Windows o C:\Winnt.
Rutinas de Puerta Trasera
Contiene rutinas que permiten conectarse a un usuario remoto con la máquina infectada a través de un puerto TCP.
Una vez conectado, el usuario remoto puede realizar las siguientes acciones en la máquina infectada:
Abrir/cerrar las unidades de CDROM.
Ejecutar un CD de audio.
Monitorear el estado de las unidades de CDROM.
Capturar las pulsaciones realizadas sobre el teclado.
Finalizar procesos.
Ver un listado de las unidades disponibles.
Cerrar un servidor.
Crear carpetas.
Cambiar el fondo de pantalla.
Abrir un puerto.
Abrir una conexión a internet.
Ejecutar archivos Real Media.
Otros Detalles
Esta escrito con el lenguaje de programación Borland Delphi y comprimido con Aspack.
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
