NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

TROYANO ESPAÑOL "CABRONATOR" CREADOR DE BACKDOOR WO

-- EL HACKER CREADOR HA SIDO DETENIDO POR LA GUARDIA CIVIL, PERO EL VIRUS ESTÁ LIBRE Y PUEDE HABER INFECTADO A MILES DE ORDENADORES, ESPECIALMENTE CUANDO, SEGÚN SU CREADOR, ES "INDETECTABLE",. OFRECEMOS UTILIDAD DE SATINFO PARA DETECCIÓN Y ELIMINACIÓN TANTO DEL GUSANO COMO DEL BACKDOOR GENERADO. -

Un hacker español ofrece en su web una utilidad creadora de gusanos "indetectables" que permitían a los visitantes que la descargan, crear gusanos con los que infectar y controlar a sus víctimas, al mismo tiempo que el hacker recibe también dicho control, y por lo visto también de la máquina del usuario que visitó dicha web. Seguidamente, ofrecemos el link de dicha noticia de la Guardia Civil:

http://www.guardiacivil.org/00prensa/notas/win_noticia.asp?idnoticia=1244

Al parecer el hacker en cuestión se llama Oscar L. H. Y tiene 27 años. Con fecha de ayer nuestros técnicos, debidamente protegidos, entraron en dicha web, que todavía estaba activa, y descargaron dicha utilidad, gracias a lo cual hemos visto que el gusano generado no es detectado todavía por los antivirus.

Además de enviar muestras al laboratorio de investigación y Virus Research de McAfee, para su posterior detección de próximos DATS, hemos realizado una utilidad llamada ELIBDWO.EXE que detectará si se tiene dicho troyano y, en consecuencia, activo el BackDoor WO, además de eliminarlo si lo encuentra y restaurar las claves de registro de sistema.

Recomendamos la utilización de dicha utilidad ELIBDWO.EXE además del uso del antivirus, si bien en un futuro sólo hará falta utilizarla si el antivirus detecta dicho troyano o el Backdoor derivado del mismo.

A título de información cabe indicar que este BackDoor abre comunicación por los puertos 7721 y 7724, permitiendo toda clase de accesos.

La ejecución del gusano crea el fichero ASDAPI.EXE en el directorio de Windows y el MSWSIGX.DLL en el directorio principal, copias idénticas del gusano, escrito en BORLAND DELPHI y comprimido con UPX.

El VIRUSSCAN detectó la primera versión de este troyano con la v 4217 en julio del pasado año 2002, pero actualmente con la última actualización sólo se detecta (de las últimas mutaciones del troyano) su editor, pero no los gusanos generados por el mismo, ni el programa cliente del mismo. La ejecución del ELIBDWO los detecta todos y genera un fichero de salida en C:\INFOSAT.LOG, añadiendo la información al final del existente si lo hubiera.

 

Para descargar la utilidad correspondiente:

 

Pulsar aquí para bajar ELBDWO.EXE

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 10 de Abril de 2003

Anterior