De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Novo Vírus - WinSATAN

Colaboração: Denilson Giungi

Data de Publicação: 25 de Junho de 1999

Foi verificada a existencia de um novo cavalo de troia, chamado WinSatan. O original em Espanol, escrito por Julio Cesar Hernández, esta traduzido e condensado abaixo

O cavalo de troia, dizendo-se um SATAN para ambiente Windows, pode ser obtido em: http://music.acmecity.com/orchestra/29/WinSATAN.zip

Apos a instalacao o programa cria um programa chamado fs-backup.exe no diretorio C:\windows e uma chave no registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run com o nome de RegisterServiceBackup apontando para C:\windows\fs-backup.exe e permite que o programa seja executado a cada inicializacao do Windows.

A execucao do cavalo de troia nao fica registrado na barra de tarefas, no "Task Manager", CTRL+ALT+Del ou SystemTray.

Observando com um sniffer e/ou editor hexadecimal, verifica-se que o programa tenta conectar-se com um dos servidores de IRC, predefinidos no codigo fonte.

          irc.stealth.net
          irc.webbernet.net
          ircnet.sprynet.org
          irc.univ-lyon.fr
          irc.rus.uni.stuttgart.de
          eu.ircnet.org
          us.ircnet.org
          web.im.tut.fi

Apos obter conexao com um desses servidores o programa envia o seguinte:

     Online!. I am <Dominio da maquina infectada>. 
     I use Windows 95, my CPU is an Intel Pentium ".

Esta mensagem e' enviada, de forma alternativa, aos usuarios "scroll" e "scroll1" do servidor IRC que estao normalmente conectados, usando Privmsg.

Aparentemente o ataque esta restrito a máquinas Windows 3.x/95/98

2) Diagnostico:

Executar o comando "c:\>netstat -an" e verificar se existe alguma conexao (involuntaria) a algum servidor IRC (exemplo:

        165.121.1.47:6667)

C:\windows\fs-backup.exe ( com tamanho aproximado de 366Kbs ).

Verificar entradas desnecessarias na chave:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3) Desinfeccao:

Remover o arquivo C:\windows\fs-backup.exe, apos remover a chave equivalente no registry.

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Denilson Giungi