NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


Troyano BackDoor-T (Alias WinSatan):

Se trata de un troyano que instala dentro del directorio C:\WINDOWS, un fichero de nombre FS-BACKUP.EXE y que además añade en el registro de sistema la ejecución de REGISTER SERVICE BACKUP dentro de HKEY_LOCAL_MACHINE\\SOFTWARE\MICROSOFT\ \WINDOWS\CURRENT VERSION\RUN... que hace ejecutar el C:\WINDOWS\FS-BACKUP.EXE, tras lo que intenta conectar con cualquiera de una lista de servidores determinados, enviando un mensaje de presentación a dos usuarios del servidor escogido, que es sin duda el objeto de la malicia del hacker de dicho virus.

El mensaje consiste en una presentación del usuario infectado, en inglés, al estilo de:

"Online! I am <name infected user>. I use Windows 95, my CPU is an Intel Pentium"

Gracias a la existencia de algún bug, el código vírico no funciona en NT 4.0, quedando limitado a WINDOWS 3x y 9x

Si bien existen varios métodos para determinar la presencia de dicho troyano, hemos visto que lo mas sencillo es revisar dentro de C:\WINDOWS la existencia del fichero FS-BACKUP.EXE, y si existe, arrancar en modo MS DOS y borrarlo, tras lo cual se deberá anular del Registro de Sistema la ejecución del REGISTER SERVICE BACKUP para que no vuelva a crearse al volver a arrancar WINDOWS..

Desde la actualización 4033, disponible en nuestra web, ya se controla dicho troyano.

Moraleja: Conviene huir de los CHATS y conexiones vía IRC, por lo fácil que es recibir y distribuir virus a través de ellos..

 

SATINFO, VIRUSCAN SPAIN SERVICE
Anterior