Autor Tema: IRC/SdBot.CTI. Troyano de acceso remoto via IRC  (Leído 1700 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
IRC/SdBot.CTI. Troyano de acceso remoto via IRC
« en: 09 de Enero de 2005, 06:09:52 pm »
IRC/SdBot.CTI. Troyano de acceso remoto via IRC
 
Nombre: IRC/SdBot.CTI
Nombre NOD32: IRC/SdBot.CTI
Tipo: Caballo de Troya de acceso remoto
Alias: SdBot.CTI, Backdoor.SDBot.H, Backdoor.Win32.IRCBot.i, BKDR_SDBOT.GEN, Bloodhound.Exploit.8, Exploit.MS04-011, Exploit:Win32/Lsass.gen!, Exploit-DcomRpc.gen, IRC/SdBot.CTI, W32/Sdbot-SW, W32/Sdbot-SW, Win32.HLLW.ForBot.based, Worm/Zusha.A
Plataforma: Windows 32-bit

Caballo de Troya que permite el acceso a los equipos infectados a través de los canales de IRC a los que se conecta por una puerta trasera.

También puede propagarse como gusano por recursos compartidos de redes.

Cuando se ejecuta, crea los siguientes archivos en el directorio del sistema de Windows:
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\SYSEDITS.EXE
c:\windows\system32\NVAPPSW.EXE

El archivo HB90HGF3.EXE se copia a si mismo como APPNV.EXE:
c:\windows\system32\APPNV.EXE
SYSEDITS.EXE es un archivo corrupto que no funciona.

El troyano crea luego las siguientes entradas en el registro de Windows para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = c:\windows\system32\APPNV.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = c:\windows\system32\APPNV.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre] = c:\windows\system32\APPNV.EXE
El troyano también se propaga por recursos compartidos de redes con contraseñas débiles, o utilizando conocidos exploits de ciertas vulnerabilidades.

Para ello copia el archivo C:\WINDOWS\SYSTEM32\NVAPPSW.EXE en las máquinas remotas.

Reparación
Deshabilitar cualquier conexión a Internet o una red

Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.

Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha borre toda entrada que haga referencia a cualquiera de los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha borre toda entrada que haga referencia a cualquiera de los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha borre toda entrada que haga referencia a cualquiera de los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
8. Abra cada clave de ese tipo que aparezca:
HKEY_USERS
\[código de usuario]
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
Donde [código de usuario] es algo como lo siguiente:
S-1-5-21-1993962763-2139871995-839522115-1003
9. Haga clic en la carpeta "Run" y borre toda entrada que haga referencia a cualquiera de los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Información adicional : Cambie las contraseñas

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
IRC/SdBot.CTI. Troyano de acceso remoto via IRC
« Respuesta #1 en: 09 de Enero de 2005, 06:52:43 pm »
Gracias Danae.

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License