De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Novo Vírus - WinSATAN
Colaboração: Denilson Giungi
Data de Publicação: 25 de Junho de 1999
Foi verificada a existencia de um novo cavalo de troia,
chamado WinSatan. O original em Espanol, escrito por Julio Cesar
Hernández, esta traduzido e condensado abaixo
O cavalo de troia, dizendo-se um SATAN para ambiente Windows,
pode ser obtido em:
http://music.acmecity.com/orchestra/29/WinSATAN.zip
Apos a instalacao o programa cria um programa chamado
fs-backup.exe no diretorio C:\windows e uma chave no registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
com o nome de RegisterServiceBackup apontando para
C:\windows\fs-backup.exe e permite que o programa seja executado
a cada inicializacao do Windows.
A execucao do cavalo de troia nao fica registrado na barra de
tarefas, no "Task Manager", CTRL+ALT+Del ou SystemTray.
Observando com um sniffer e/ou editor hexadecimal, verifica-se
que o programa tenta conectar-se com um dos servidores de IRC,
predefinidos no codigo fonte.
irc.stealth.net
irc.webbernet.net
ircnet.sprynet.org
irc.univ-lyon.fr
irc.rus.uni.stuttgart.de
eu.ircnet.org
us.ircnet.org
web.im.tut.fi
Apos obter conexao com um desses servidores o programa envia o
seguinte:
Online!. I am <Dominio da maquina infectada>.
I use Windows 95, my CPU is an Intel Pentium ".
Esta mensagem e' enviada, de forma alternativa, aos usuarios
"scroll" e "scroll1" do servidor IRC que estao normalmente conectados,
usando Privmsg.
Aparentemente o ataque esta restrito a máquinas Windows
3.x/95/98
2) Diagnostico:
Executar o comando "c:\>netstat -an" e verificar se existe
alguma conexao (involuntaria) a algum servidor IRC (exemplo:
165.121.1.47:6667)
C:\windows\fs-backup.exe ( com tamanho aproximado de 366Kbs ).
Verificar entradas desnecessarias na chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3) Desinfeccao:
Remover o arquivo C:\windows\fs-backup.exe, apos remover a chave
equivalente no registry.