NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Backdoor renovado por el Hacker y ya detectado en España

Nombre de virus: BackDoor-G2.svr.21

Alias conocidos: Backdoor Subseven210 / 213

Riesgo Infección:Alto   (Bajo, Alto, Muy Alto)

Activación: abre una puerta trasera al hacker

Propagación: Por ejecución fichero EXE PE, JPG ó BMP

Detección: Desde DATS 4061/4076

Motor necesario: Engine 4.0.25 o superior

Infección actual: Elevada    (Inicial, Media, Elevada)
 

Si bien este gusano ya está controlado desde hace tiempo, el hecho de que haya sido actualizado por el hacker, y que ya haya sido detectado en nuestro pais estos últimos días, por varios de nuestros asociados, le ha hecho merecedor de un estudio exhaustivo por nuestra parte, de la edición de este informe y de la creación de utilidades de eliminación, que adjuntamos.

El virus entra por ejecutar un fichero tipo PE de 32 bits, sea con extensión EXE, o EXE camuflados como JPG / BMP, copiándose en la carpeta Windows del disco duro, en dos ficheros, el servidor MSREXE.EXE y el cargador RUN.EXE, si bien este último puede llamarse WINDOS.EXE o MUEEXE.EXE.

A continuación utiliza cuatro caminos distintos, aleatoriamente:
añadir al Win.ini, sección [windows], un  run = MSREXE.EXE
añadir al System.ini, sección [boot],  un shell = MSREXE.EXE
añadir en clave del registro de sistema la carga del MSREXE.EXE en:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices    y
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
d)   cambiar la ruta de trabajo del sistema operativo, cambiando el valor de
 HKEY_CLASSES_ROOT\exefile\Shell\open\command\   de los valores por defecto, a “mueexe.exe”%1”%*”, con lo que consigue que cada vez que se ejecute un fichero EXE, antes se lance el cargador del virus, que ejecuta el virus, si no está ya en uso, y a continuación ejecuta el programa.

En cualquiera de los cuatro casos se abre una puerta trasera al hacker, por la que puede entrar y manipular el ordenador a distancia, a través de Internet.
Para su eliminación bastará con ejecutar nuestra utilidadad ELIBDG2.EXE, con lo que se eliminarán los cambios efectuados por el virus fuere cual fuere la vía de infección elegida por el virus.

Pulse aqui para descargar el fichero ELIBDG2.EXE

Si ya se hubieran eliminado antes los ficheros infectados, y no se pudiera arrancar normalmente, se deberá ejecutar el fichero UNDO.REG para normalizar el Registro de sistema, y a continuación reiniciar el ordenador y ejecutar el ELIBDG2.EXE para terminar de normalizar WIN.INI y SYSTEM.INI.

SATINFO, VIRUSCAN SPAIN SERVICE                         L.2-11-00
 
 

Anterior