Caballo de Troya que crea una puerta trasera en el equipo infectado, permitiendo que un usuario remoto acceda al mismo, y realice acciones que comprometen la seguridad del sistema, según informa Vsantivirus.
Cuando se ejecuta, crea la siguiente copia de si mismo en la carpeta del sistema:
c:\windows\system32\chkdsk32.exe
Si el usuario actual tiene derechos administrativos, el troyano puede instalarse como una aplicación autorizada para eludir el cortafuegos de Windows XP SP2.
Crea un servicio que se ejecuta en cada reinicio de Windows. El servicio tiene las siguientes características:
Nombre de servicio:
Logical Disk Manager Users Service
Nombre para mostrar:
Users service for disk management requests
Ruta de acceso al ejecutable:
[camino]\chkdsk32.exe
Para crear dicho servicio, crea la siguiente entrada en el registro:
HKLM\SYSTEM\CurrentControlSet\Services
\Logical Disk Manager Users Service\
Cuando este servicio se ejecuta, el troyano se inyecta en el proceso de Windows SVCHOST.EXE, escuchando las conexiones TCP entrantes por el puerto 1070 (puede variar).
El troyano crea un shell de comandos que permite a un atacante remoto realizar acciones como las siguientes:
- Capturar la pantalla
- Descargar e instalar otras versiones de si mismo
- Eliminar procesos
- Listar procesos activos
- Modificar algunas configuraciones del registro
- Mostrar información del sistema
- Reiniciar el equipo infectado
- Subir o descargar archivos
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
fuente:
http://laflecha.net/canales/seguridad/200510132/