Informe especial: Caballo de Troya

őQu© es el Caballo de Troya "QAZ"?

Este nuevo Caballo de Troya crea una puerta trasera que permite a los crackers acceder y controlar el sistema infectado. TROJ_QAZ fue inicialmente distribuido con el nombre "NOTEPAD.EXE", aunque puede presentarse bajo cualquier nombre de archivo.
 

Al ejecutar el archivo infectado, TROJ_QAZ modifica el registro de Windows para activarse automˇticamente cada vez que se inicia la mˇquina. Igualmente, TROJ_QAZ renombre el archivo NOTEPAD.EXE original a NOTE.COM y se copia ©l mismo en un archivo con el nombre NOTEPAD.EXE contenido en el directorio ra­z de Windows. De esta forma, cada vez que el usuario ejecuta el bloc de notas, el Caballo de Troya tambi©n es ejecutado. Adicionalmente, TROJ_QAZ intentarˇ distribuirse a todas las unidades de disco de la red. Este Caballo de Troya no se auto-env­a por correo electrănico.
 

őCămo eliminar el Caballo de Troya QAZ?

Para eliminar el Caballo de Troya es necesario editar el registro de Windows:

  1. Hacer click en el botăn INICIO y seleccionar la opciăn EJECUTAR.
    Escribir REGEDIT y, a continuaciăn, la tecla ENTER.
  2. En el panel que aparece a la izquierda, hacer click en el s­mbolo "+" situado a la izquierda de cada uno de estos valores:
    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Windows
    CurrentVersion
    Run
  3. En el panel situado a la derecha, buscar cualquier entrada que tenga como valor
    startIE=XXXX\Notepad.exe (donde XXXX es la unidad y directorio en el que estˇ instalado Windows).
  4. En esta misma ventana derecha, resaltar la entrada que tiene ese valor y pulsar la tecla SUPRIMIR, respondiendo SI a la confirmaciăn de borrado.
  5. Salir del Editor del Registro.
  6. Reiniciar la mˇquina.
  7. Cuando la mˇquina haya arrancado, buscar el archivo NOTE.COM y cambiar su nombre a NOTEPAD.EXE

Este proceso puede ejecutarse automˇticamente utilizando la utilidad creada expresamente por f-secure.com.
 

Caracter­sticas de la puerta trasera

La puerta trasera que abre este Caballo de Troya sălo soporta algunos mandatos:

  • run (ejecutar un programa concreto).
  • upload (crea un archivo en el ordenador infectado).
  • quit (desconectar).

Aunque son sălo tres mandatos, es mˇs suficiente para que el craker pueda instalar cualquier otro programa en el ordenador infectado.

El virus env­a una notificaciăn, v­a correo electrănico, con la direcciăn IP del ordenador infectado. El destinatario del mensaje es un sistema situado en China.
 

[Pˇgina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]
© Copyright 2000-2001, Selesta Seguridad. Email: info@selseg.com
Declaraciăn de privacidad. - Aviso de responsabilidad.