[eside-ghost] El troyano de antes

System BD sistema_paralelo en yahoo.es
Mie Abr 7 19:31:19 CEST 2004 

    Hola, soy el mangurrino al que le llegó el troyano que mencionaba Unai en mensajes anteriores. Acabo de eliminarlo del sistema y me he agenciado de varios antivirus, firewalls y demás.
    Ya llevo el suficiente tiempo en internet para saber como evitar los toyanos (no me suelo meter en páginas peligrosas), pero este en cuestión es el "mejor" que he visto. Creo que mi experiencia puede servir a alguien más así que aquí teneis una descripción del troyano:
    Segun Kaspersky se llama Backdoor.Agobot.3.gen, y es un troyano que genera un backdoor que funciona sobre IRC (lo que en la práctica permite acceso a cualquier archivo del ordenador). Hasta aquí, nada nuevo.
    El mayor problema viene cuando, una vez instalado genera, un proceso llamado winlog. El maldito proceso no puede terminarse, en cuanto le das la orden de eliminar, símplemente crea una copia de si mismo (quizá con otro proceso temporal) en cuestión de microsegundos, con lo que es imposible  borrar el ejecutable winlog que lo ejecuta, situado en la carpeta Windows/system32/.
    La gracia del asunto es que el proceso hace + o - cada 10 segundos un barrido del sistema y cierra cualquier aplicación que considera peligrosa: antivirus panda, norton y kaspersky (al menos) y, lo que es peor, el registro de windows y la tabla de servicios (panel de control/herramientas administrativas). Es por ello que la solución de borrar las claves del registro run y runServices resulta muy dificil, cada 10 segundos tenía que cerrar y abrir el regedit para que no me lo cerrase el propio troyano y perdiese el directorio de claves actual.
    Por si fuera poco, el propio troyano creaba un servicio propio que se autoejecutaba sin tener en cuenta la clave de registro (salvo la primera vez).

    La solución: 
    1- Darse prisa y hacer lo de abrir-cerrar el regedit en menos de 10 segundos  y eliminar las claves del Winlog (autodenominado windows login) en los directorios run y runservices.
    2- Con la herramienta servicios de componentes, deshabilitar el servicio "Windows login", OJO: NO SE PUEDE DETENER, SOLO DESHABILITAR.
    3- Reiniciar y, en cuanto puedas, borrar el archivo winlog.exe de la carpeta Windows/System32.
    4- Instalar antivirus y cortafuegos para que no vuelva a pasar.

    Mi experiencia es ahora vuestra, gracias por vuestro interés.
System BD

PD: Si hay que echarle la culpa a alguien es a Terra, que mantiene sus servidores plagados de virus (blaster campa a sus anchas) para obligar a los usuarios a pagar 3,95 euros (sinIVA) de más por un servicio decente.
    
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://ssl.deusto.es/pipermail/eside-ghost/attachments/20040407/8b08286f/attachment.htm

Más información sobre la lista de distribución eside-ghost