Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Miyu en 03 de Enero de 2005, 12:55:08 am

Título: Back/Naninf.C. Crea un acceso remoto vía IRC
Publicado por: Miyu en 03 de Enero de 2005, 12:55:08 am

Back/Naninf.C. Crea un acceso remoto vía IRC

Nombre: Back/Naninf.C
Nombre NOD32: Win32/Naninf.C
Tipo: Caballo de Troya
Alias: Naninf.C, Backdoor.Win32.SdBot.tu, BackDoor-AZV, Backdoor.Trojan, BackDoor.IRC.Sdbot.283, Troj/Bdoor-AZW, Worm/SdBot.31770, IRC/BackDoor.SdBot.93.BA, Backdoor.SDBot.PE, Trojan.SdBot-265, Win32/Naninf.C
Fecha: 31/dic/04
Plataforma: Windows 32-bit

Caballo de Troya que se conecta a un canal predeterminado de IRC a través de una puerta trasera creada en el equipo infectado. Por medio de esta conexión, un usuario remoto puede tomar el control del equipo.

Al ejecutarse por primera vez, se copia en la carpeta del sistema de Windows con el siguiente nombre:

    c:\windows\system\load32.exe

NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.

El troyano crea también las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Apvxdwin = load32.exe

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Apvxdwin = load32.exe


Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.

Más información http://www.vsantivirus.com/back-naninf-c.htm

Título: Back/Naninf.C. Crea un acceso remoto vía IRC
Publicado por: Dabo en 03 de Enero de 2005, 12:56:32 am

gracias por la info miyu  :wink: