« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Back/Helodor.A. Recibe ordenes de usuario remoto  (Leído 1405 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Back/Helodor.A. Recibe ordenes de usuario remoto
« en: 03 de Diciembre de 2004, 06:53:47 pm »
Back/Helodor.A. Recibe ordenes de usuario remoto

Nombre: Back/Helodor.A
Nombre NOD32: Win32/Helodor.A
Tipo: Caballo de Troya de acceso remoto
Alias: Helodor, BackDoor.Agent.3.AV, Backdoor.Agent.DW, Backdoor.Guzu, BackDoor.Helo, BackDoor.Hell, Backdoor.Trojan, Backdoor:Win32/Agent.DX, BDS/Agent.DW, Generic BackDoor.p, Helodor.A, TR/Dldr.Helodor, Trj/Agent.BC, Trj/Helodor.B, Troj/Agent-DW, Troj/Helodor-B, TROJ_AGENT.GG, TROJ_HELODOR.B, Trojan.Win32.Helodor.a, Trojan.Win32.Helodor.b, Trojan.Win32.Helodor.gen, W32/SillyTrojan.N@bd, Win32.Fuzzorin, Win32.Fuzzorin.A, Win32.Fuzzorin.B, Win32.Fuzzorin.C, Win32.Fuzzorin.D, Win32/Fuzzorin.A.Trojan, Win32/Helodor.A, Win32:Trojano-609
Plataforma: Windows 32-bit
Tamaño: variable (29 Kb aprox.)

Se trata de un caballo de Troya de acceso trasero, comprimido con la utilidad UPX.

Cuando se ejecuta, se copia a si mismo en la siguiente ubicación:
c:\windows\svchost.exe
Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es también un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre dicho archivo por equivocación al intentar borrar el que crea el virus.

Modifica el registro para autoejecutarse en cada reinicio del sistema:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsUpdate = "c:\windows\svchost.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsUpdate = "c:\windows\svchost.exe"
En equipos con Windows 95, 98 y Me, se registra a si mismo como un proceso. Esto permite que siga funcionando si se cambia de usuario, al mismo tiempo que permanece oculto en la lista de tareas (CTRL+ALT+SUPR).

Crea el siguiente mutex como semáforo para no ejecutarse más de una vez en memoria:
Ca4-5s
El troyano abre una puerta trasera (backdoor), en un puerto seleccionado al azar, y queda a la escucha de los comandos enviados por un atacante remoto.

También intenta conectarse a servidores SMTP por el puerto TCP 25, en un rango de direcciones IP desde la 66.195.126.1 hasta la 66.195.126.255.

En lugar de enviar un correo electrónico, solo envía un comando que incluye la dirección IP de la máquina infectada y el puerto por el que el troyano escucha. Probablemente se trate de una forma notificar su presencia.

Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\svchost.exe
IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que es un archivo legítimo de Windows.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WindowsUpdate
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WindowsUpdate
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/back-helodor-a.htm
En línea

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Back/Helodor.A. Recibe ordenes de usuario remoto
« Respuesta #1 en: 06 de Diciembre de 2004, 11:46:27 pm »
Gracias Danae

Un saludo
En línea

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15348
    • https://www.daboblog.com
Back/Helodor.A. Recibe ordenes de usuario remoto
« Respuesta #2 en: 07 de Diciembre de 2004, 01:30:26 am »
gracias por la info  :wink:
En línea
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.