backdoor.tuxder
tipo: troyano
tama?o: 61,052 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 20/01/2004. descripción:
w32/tuxder, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada
cuando el troyano se ejecuta se copia a si mismo dentro de:
windows \system.exe
nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
adem?s modifica las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
mskernel32= windows \system.exe 4820
tambi?n crea la siguiente entrada donde guarda el password del troyano:
hkey_local_machine\software\redkodb\password
finalmente queda a la espera de establecer comunicaci?n con el atacante a trav?s del puerto tcp 4820, si se logra establecer la comunicaci?n, el atacante podria realizar las siguientes acciones:
identificar, ejecutar y finalizar procesos. manipular archivos y carpetas. abrir un shell remoto y actuar como proxy telnet. enviar mensajes de e-mail. visualizar mensajes en pantalla, activar sonidos, imprimir datos, realizar capturas de pantalla, mover el cursor, entre otras acciones. crear y eliminar carpetas compartidas. reiniciar el sistema. enviar y recibir archivos a trav?s de ftp y sitios de descarga en internet. manipular log de eventos. actualizar al troyano. obtener informaci?n de la red. ocultar su propio proceso en el administrador de tareas. cambiar el puerto de escucha y el password de acceso. |
