Acesso direto ao conteúdo
Logotipo Dicas-L, por Ricardo Burile

Busca
Visite também: Segurança Linux ·  UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  NoticiasLinux ·  BR-Linux ·  SoftwareLivre.org ·  [mais]   
 

Você está aqui: Home  → Arquivo Dicas-L

 

Curso de Inglês Online

Assine a Lista Dicas-L

Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.

Novo Vírus - WinSATAN

Colaboração: Denilson Giungi

Data de Publicação: 25 de Junho de 1999

Foi verificada a existencia de um novo cavalo de troia, chamado WinSatan. O original em Espanol, escrito por Julio Cesar Hernández, esta traduzido e condensado abaixo

O cavalo de troia, dizendo-se um SATAN para ambiente Windows, pode ser obtido em: http://music.acmecity.com/orchestra/29/WinSATAN.zip

Apos a instalacao o programa cria um programa chamado fs-backup.exe no diretorio C:\windows e uma chave no registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run com o nome de RegisterServiceBackup apontando para C:\windows\fs-backup.exe e permite que o programa seja executado a cada inicializacao do Windows.

A execucao do cavalo de troia nao fica registrado na barra de tarefas, no "Task Manager", CTRL+ALT+Del ou SystemTray.

Observando com um sniffer e/ou editor hexadecimal, verifica-se que o programa tenta conectar-se com um dos servidores de IRC, predefinidos no codigo fonte. 

          irc.stealth.net
          irc.webbernet.net
          ircnet.sprynet.org
          irc.univ-lyon.fr
          irc.rus.uni.stuttgart.de
          eu.ircnet.org
          us.ircnet.org
          web.im.tut.fi

Apos obter conexao com um desses servidores o programa envia o seguinte: 

     Online!. I am <Dominio da maquina infectada>. 
     I use Windows 95, my CPU is an Intel Pentium ".

Esta mensagem e' enviada, de forma alternativa, aos usuarios "scroll" e "scroll1" do servidor IRC que estao normalmente conectados, usando Privmsg.

Aparentemente o ataque esta restrito a máquinas Windows 3.x/95/98

2) Diagnostico:

Executar o comando "c:\>netstat -an" e verificar se existe alguma conexao (involuntaria) a algum servidor IRC (exemplo: 

        165.121.1.47:6667)

C:\windows\fs-backup.exe ( com tamanho aproximado de 366Kbs ).

Verificar entradas desnecessarias na chave: 

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3) Desinfeccao:

Remover o arquivo C:\windows\fs-backup.exe, apos remover a chave equivalente no registry.

Veja a relação completa dos artigos de Denilson Giungi

Formato PDF
 Newsfeed RSS
 Formato para impressão
PDF RSS Imprimir

Referências Adicionais

Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.

Avalie esta dica

  • Currently 2.96/5
  • 1
  • 2
  • 3
  • 4
  • 5

Avaliação: 3.0 /5 (1135 votos)

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script
Treinamentos, Consultorias e Soluçoes em TI. Baseados em softwares livres e padrões abertos para ambientes de missão crítica

Submarino.com.br

PDF Explicado

 

 

Inversão de URLs