SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Backdoor renovado por el Hacker y ya detectado en España
Nombre de virus: BackDoor-G2.svr.21
Alias conocidos: Backdoor Subseven210 / 213
Riesgo Infección:Alto (Bajo, Alto, Muy Alto)
Activación: abre una puerta trasera al hacker
Propagación: Por ejecución fichero EXE PE, JPG ó BMP
Detección: Desde DATS 4061/4076
Motor necesario: Engine 4.0.25 o superior
Infección actual: Elevada (Inicial, Media, Elevada)
Si bien este gusano ya está controlado desde hace tiempo, el hecho de que haya sido actualizado por el hacker, y que ya haya sido detectado en nuestro pais estos últimos días, por varios de nuestros asociados, le ha hecho merecedor de un estudio exhaustivo por nuestra parte, de la edición de este informe y de la creación de utilidades de eliminación, que adjuntamos.
El virus entra por ejecutar un fichero tipo PE de 32 bits, sea con extensión EXE, o EXE camuflados como JPG / BMP, copiándose en la carpeta Windows del disco duro, en dos ficheros, el servidor MSREXE.EXE y el cargador RUN.EXE, si bien este último puede llamarse WINDOS.EXE o MUEEXE.EXE.
A continuación utiliza cuatro caminos
distintos, aleatoriamente:
añadir al Win.ini, sección [windows],
un run = MSREXE.EXE
añadir al System.ini, sección [boot],
un shell = MSREXE.EXE
añadir en clave del registro de sistema la
carga del MSREXE.EXE en:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
y
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
d) cambiar la ruta de trabajo del
sistema operativo, cambiando el valor de
HKEY_CLASSES_ROOT\exefile\Shell\open\command\
de los valores por defecto, a “mueexe.exe”%1”%*”, con lo que consigue
que cada vez que se ejecute un fichero EXE, antes se lance el cargador del virus, que
ejecuta el virus, si no está ya en uso, y a continuación ejecuta el programa.
En cualquiera de los cuatro casos se abre
una puerta trasera al hacker, por la que puede entrar y manipular el ordenador a
distancia, a través de Internet.
Para su eliminación bastará con ejecutar
nuestra utilidadad ELIBDG2.EXE, con lo que se eliminarán los cambios efectuados por el
virus fuere cual fuere la vía de infección elegida por el virus.
Pulse aqui para descargar el fichero ELIBDG2.EXE
Si ya se hubieran eliminado antes los ficheros infectados, y no se pudiera arrancar normalmente, se deberá ejecutar el fichero UNDO.REG para normalizar el Registro de sistema, y a continuación reiniciar el ordenador y ejecutar el ELIBDG2.EXE para terminar de normalizar WIN.INI y SYSTEM.INI.
SATINFO, VIRUSCAN SPAIN
SERVICE
L.2-11-00
