Novo Vírus - WinSATAN

Colaboração: Denilson Giungi

Data de Publicação: 25 de Junho de 1999

Foi verificada a existencia de um novo cavalo de troia, chamado WinSatan. O original em Espanol, escrito por Julio Cesar Hernández, esta traduzido e condensado abaixo

O cavalo de troia, dizendo-se um SATAN para ambiente Windows, pode ser obtido em: http://music.acmecity.com/orchestra/29/WinSATAN.zip

Apos a instalacao o programa cria um programa chamado fs-backup.exe no diretorio C:\windows e uma chave no registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run com o nome de RegisterServiceBackup apontando para C:\windows\fs-backup.exe e permite que o programa seja executado a cada inicializacao do Windows.

A execucao do cavalo de troia nao fica registrado na barra de tarefas, no "Task Manager", CTRL+ALT+Del ou SystemTray.

Observando com um sniffer e/ou editor hexadecimal, verifica-se que o programa tenta conectar-se com um dos servidores de IRC, predefinidos no codigo fonte.

        irc.stealth.net
        irc.webbernet.net
        ircnet.sprynet.org
        irc.univ-lyon.fr
        irc.rus.uni.stuttgart.de
        eu.ircnet.org
        us.ircnet.org
        web.im.tut.fi

Apos obter conexao com um desses servidores o programa envia o seguinte:

   Online!. I am <Dominio da maquina infectada>. 
   I use Windows 95, my CPU is an Intel Pentium ".

Esta mensagem e' enviada, de forma alternativa, aos usuarios "scroll" e "scroll1" do servidor IRC que estao normalmente conectados, usando Privmsg.

Aparentemente o ataque esta restrito a máquinas Windows 3.x/95/98

2) Diagnostico:

Executar o comando "c:\>netstat -an" e verificar se existe alguma conexao (involuntaria) a algum servidor IRC (exemplo:

      165.121.1.47:6667)

C:\windows\fs-backup.exe ( com tamanho aproximado de 366Kbs ).

Verificar entradas desnecessarias na chave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3) Desinfeccao:

Remover o arquivo C:\windows\fs-backup.exe, apos remover a chave equivalente no registry.