|
|
| Nombre: | Backdoor.Tron Alias: RAT.Tron, Troj/Backdoor.tron |
| Tipo: | Troyano |
| Tamaño: | 481 kb |
| Origen: | Internet |
| Destructivo: | SI |
| En
la calle (in the wild): |
SI |
| Detección/Eliminación: | - The Hacker 5.2 al 04/06/2002 |
Descripción
Backdoor.Tron, es un troyano que intenta eliminar los procesos de los siguientes firewall, ZoneAlarm y Tiny Personal Firewall, que esten instalados en la computadora atacada, y así no ser detectado por el firewall. Este necesita de la intervención del usuario para ser ejecutado, esto lo logra a travez de engaños, haciendose pasar como un archivo de utilidad, este puede tener cualquier nombre ( su nombre por defecto es tron.exe) pero puede ser renombrado.
Cuando el troyano es ejecutado, este se copia a si mismo en la carpeta de %windows% con los siguientes nombres:
C:\WINDOWS\<nombre aleatorio>.exe
C:\WINDOWS\Grpvinc.cpe
C:\WINDOWS\Tmplnjs.bat
Ademas modifica el archivo Autoexec.bat (realiza solo estos cambios en Win 9x)
PATH=C:\WINDOWS\;%PATH%
tmplnjs
cls
modifica una entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"LoadOrderVerification" ="C:\WINDOWS\<nombre aleatorio>.exe"
Ademas este troyano abre los puertos 58008 y 58009 a la espera de una conexión, si llega a realizar una conexión un atacante tomaría el control de la computadora pudiendo llegar a realizar lo siguiente:
-Copiar, mover, borrar, cargar o descargar archivos.
-Visualizar los procesos activos.
-Apagar el sistema.
-Eliminar cualquiera de los procesos activos.
-Abrir o cerrar la bandeja de la unidad de CD.
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú