você está aqui: Home  → Arquivo de Mensagens

Novo Vírus - WinSATAN

Colaboração: Denilson Giungi

Data de Publicação: 25 de Junho de 1999

Foi verificada a existencia de um novo cavalo de troia, chamado WinSatan. O original em Espanol, escrito por Julio Cesar Hernández, esta traduzido e condensado abaixo

O cavalo de troia, dizendo-se um SATAN para ambiente Windows, pode ser obtido em: http://music.acmecity.com/orchestra/29/WinSATAN.zip

Apos a instalacao o programa cria um programa chamado fs-backup.exe no diretorio C:\windows e uma chave no registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run com o nome de RegisterServiceBackup apontando para C:\windows\fs-backup.exe e permite que o programa seja executado a cada inicializacao do Windows.

A execucao do cavalo de troia nao fica registrado na barra de tarefas, no "Task Manager", CTRL+ALT+Del ou SystemTray.

Observando com um sniffer e/ou editor hexadecimal, verifica-se que o programa tenta conectar-se com um dos servidores de IRC, predefinidos no codigo fonte.

          irc.stealth.net
          irc.webbernet.net
          ircnet.sprynet.org
          irc.univ-lyon.fr
          irc.rus.uni.stuttgart.de
          eu.ircnet.org
          us.ircnet.org
          web.im.tut.fi

Apos obter conexao com um desses servidores o programa envia o seguinte:

     Online!. I am <Dominio da maquina infectada>. 
     I use Windows 95, my CPU is an Intel Pentium ".

Esta mensagem e' enviada, de forma alternativa, aos usuarios "scroll" e "scroll1" do servidor IRC que estao normalmente conectados, usando Privmsg.

Aparentemente o ataque esta restrito a máquinas Windows 3.x/95/98

2) Diagnostico:

Executar o comando "c:\>netstat -an" e verificar se existe alguma conexao (involuntaria) a algum servidor IRC (exemplo:

        165.121.1.47:6667)

C:\windows\fs-backup.exe ( com tamanho aproximado de 366Kbs ).

Verificar entradas desnecessarias na chave:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3) Desinfeccao:

Remover o arquivo C:\windows\fs-backup.exe, apos remover a chave equivalente no registry.



Veja a relação completa dos artigos de Denilson Giungi

 

 

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script