Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas

Sus solicitudes

Perfil

Volver a las noticias

Doctor Web investigó un gusano que infecta los archivos y elimina otros troyanos

13 de enero de 2017

Los gusanos son programas nocivos que pueden difundirse de forma autónoma, pero no pueden infectar los archivos ejecutables. Los analistas de virus de la empresa Doctor Web investigaron uno de estos troyanos que infecta los archivos RAR, elimina otras aplicaciones nocivas y usa para su propia difusión el sistema de acceso remoto VNC.

El gusano llamado BackDoor.Ragebot.45 recibe los comandos usando el protocolo de intercambio de mensajes de texto IRC (Internet Relay Chat). Para realizarlo, se conecta al canal de chat por el cual los malintencionados le envían las directivas administrativas al troyano.

screen BackDoor.Ragebot.45 #drweb

Al infectar el equipo bajo la administración de Windows, BackDoor.Ragebot.45 inicia en el mismo el servidor FTP que usa para descargar su propia copia en el Pc atacado. Luego escanea las subredes disponibles en busca de los nodos con el puerto abierto 5900 usado para organizar la conexión usando un sistema de acceso remoto al escritorio Virtual Network Computing (VNC). Al detectar esta máquina, BackDoor.Ragebot.45 intenta obtener el acceso no sancionado a la misma al averiguar la contraseña usando un diccionario.

En caso de hackear correctamente, el gusano establece la conexión VNC al equipo remoto y envía las señales de pulsaciones de teclas, usando las cuales envía el interpretador de comandos CMD y ejecuta el código en el mismo para descargar su propia copia por protocolo FTP. De esta forma, el gusano se difunde automáticamente.

Otra función de BackDoor.Ragebot.45 es la búsqueda y la infección de archivos RAR en dispositivos extraíbles. Al detectar un archivo RAR, el gusano coloca su propia copia en el mismo, llamada setup.exe, installer.exe, self-installer.exe o self-extractor.exe. Para infectar el equipo, el usuario mismo debe iniciar el archivo ejecutable extraído del archivo.

Además, el troyano copia a sí mismo a la carpeta del cliente ICQ, así como un conjunto de programas destinados para establecer conexiones P2P. Al recibir el comando correspondiente de los malintencionados, BackDoor.Ragebot.45 busca otros troyanos en el sistema, al detectar los cuales finaliza sus procesos y elimina los archivos ejecutables. El troyano dispone de «listas blancas» especiales que contienen los nombres de archivos (básicamente, los archivos de sistema Windows) que ignora permitiéndoles funcionar en el equipo infectado.

La muestras de una versión antigua de BackDoor.Ragebot.45 se registraron en acceso público. Se puede suponer que por esta razón el programa nocivo se difundirá activamente en el futuro. El antivirus Dr.Web detecta y elimina BackDoor.Ragebot.45, por lo tanto, este troyano no es peligroso para nuestros usuarios.

Más información sobre el troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2018

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А