PreguntasLinux / PL.O / Portal / Aparece Telemot.B., un caballo de Troya de acceso remoto

Tema Cerrado  Enviar Tema 
Aparece Telemot.B., un caballo de Troya de acceso remoto
Autor Mensaje
warp
Q


Mensajes: 2,009
Grupo: Registrado
Registro en: Jun 2005
Estado: Sin Conexión
Reputación: 10
Mensaje: #1
Aparece Telemot.B., un caballo de Troya de acceso remoto

Nombre: Telemot.B Nombre NOD32: Win32/Telemot.B Tipo: Caballo de Troya de acceso remoto Alias: Telemot.B, BackDoor.c, BackDoor.Chock, BackDoor.Generic.KHV, Backdoor.Telemot.01, Backdoor.Win32.Telemot.01, Backdoor/Telemot.01, Backdoor-Server/Telemot.01, BDS/Telemot.01, DLOADER.Trojan, Troj/Telemot-A, Trojan.Telemot.01, W32/BackDoor.01-bdr, W32/Backdoor.FWV, Win32/Telemot.B Fecha: 12/oct/05
Puertos: TCP 1070 (por defecto, puede ser configurado).

10-15-2005 12:03 AM
Visita el website del usuario Encuentra todos los mensajes de este usuario
warp
Q


Mensajes: 2,009
Grupo: Registrado
Registro en: Jun 2005
Estado: Sin Conexión
Reputación: 10
Mensaje: #2
RE: Aparece Telemot.B., un caballo de Troya de acceso remoto

Caballo de Troya que crea una puerta trasera en el equipo infectado, permitiendo que un usuario remoto acceda al mismo, y realice acciones que comprometen la seguridad del sistema, según informa Vsantivirus.

Cuando se ejecuta, crea la siguiente copia de si mismo en la carpeta del sistema:

c:\windows\system32\chkdsk32.exe

Si el usuario actual tiene derechos administrativos, el troyano puede instalarse como una aplicación autorizada para eludir el cortafuegos de Windows XP SP2.

Crea un servicio que se ejecuta en cada reinicio de Windows. El servicio tiene las siguientes características:

Nombre de servicio:
Logical Disk Manager Users Service

Nombre para mostrar:
Users service for disk management requests

Ruta de acceso al ejecutable:
[camino]\chkdsk32.exe

Para crear dicho servicio, crea la siguiente entrada en el registro:

HKLM\SYSTEM\CurrentControlSet\Services
\Logical Disk Manager Users Service\

Cuando este servicio se ejecuta, el troyano se inyecta en el proceso de Windows SVCHOST.EXE, escuchando las conexiones TCP entrantes por el puerto 1070 (puede variar).

El troyano crea un shell de comandos que permite a un atacante remoto realizar acciones como las siguientes:

- Capturar la pantalla
- Descargar e instalar otras versiones de si mismo
- Eliminar procesos
- Listar procesos activos
- Modificar algunas configuraciones del registro
- Mostrar información del sistema
- Reiniciar el equipo infectado
- Subir o descargar archivos


Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

fuente: http://laflecha.net/canales/seguridad/200510132/

10-15-2005 12:03 AM
Visita el website del usuario Encuentra todos los mensajes de este usuario
Tema Cerrado  Enviar Tema 

Ver la Versión para Impresión
Mandar este Tema a algún Amigo
Subscríbete a este Tema | Agrega este Tema a Tus Favoritos
Califica este Tema:

Salto de Foro:

Contáctanos | Portal de Noticias | Volver hacia Arriba | Volver al Contenido | Modo (Archivo) Ligero | Sindicación RSS