Backdoor.W32/Shuckbot , Troyano que actúa como puerta trasera en el equipo afectado.Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Troj/Shuckbot-A (Sophos), Trojan.Spybot-127 (Otros)
El intruso envía sus instrucciones a través de IRC y tiene capacidad para, entre otras acciones, descargar/ejecutar ficheros, capturar las pulsaciones efectuadas en el teclado y recopilar información del sistema.
Además, elude la acción del cortafuegos de Windows realizando modificaciones en el registro.
Cuando TBackdoor.W32/Shuckbot es ejecutado, se copia a sí mismo en el directorio del sistema de Windows con el nombre RECYCLER.EXE.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Valor: Recycle Bin Handler = - directorio_del_sistema -\recycler.exe
Para eludir la acción del cortafuegos de Windows, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
\DomainProfile\AuthorizedApplications\List\
Valor: %Sistema%\recycler.exe = %Sistema%\recycler.exe:*:enabled:@xpsp2res.dll,-22005
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
Valor: %Sistema%\recycler.exe = %Sistema%\recycler.exe:*:enabled:@xpsp2res.dll,-22005
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\
Valor: 6667:TCP = 6667:TCP:*:Enabled:@xpsp2res.dll,-22005
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\
Valor: 6667:TCP = 6667:TCP:*:Enabled:@xpsp2res.dll,-22005
Nota: %Sistema% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\WINNT\System32 (Windows 2000/NT) y C:\Windows\System32 (Windows XP).
El troyano se conecta a un servidor IRC y espera recibir instrucciones de un usuario remoto.
Entre otros, el intruso podrá:
Descargar y ejecutar ficheros en el equipo afectado.
Enviar información sobre del sistema comprometido.
Capturar y enviar las pulsaciones realizadas por el usuario.
En origen, esta puerta trasera ha sido enviada como anexo a un correo electrónico.
Las características de el mensaje son las siguientes:
Cuerpo del mensaje:
Hello,
I noticed whilst browsing your site that there were problems with some of your links,
when I tried again with Internet Explorer the problems were not there so I assume that
they were caused by me using the Mozilla browser.
As more people are turning to alternative browsers now it may be of help for you to know this.
I have enclosed a screen capture of the problem so your team can get it fixed if you
deem it an issue.
Fichero anexo: Screen Shot of Site.zip
Reparación:
Desactive restaurar sistema
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de la siguiente clave del registro de Windows, el valor indicado:
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Valor: Recycle Bin Handler = - directorio_del_sistema -\recycler.exe
Para evitar que el troyano eluda la acción del cortafuegos de Windows,
elimine los valores indicados de las siguientes claves del registro de Windows: Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
\DomainProfile\AuthorizedApplications\List\
Valor: %Sistema%\recycler.exe = %Sistema%\recycler.exe:*:enabled:@xpsp2res.dll,-22005
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
Valor: %Sistema%\recycler.exe = %Sistema%\recycler.exe:*:enabled:@xpsp2res.dll,-22005
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\
Valor: 6667:TCP = 6667:TCP:*:Enabled:@xpsp2res.dll,-22005
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\
Valor: 6667:TCP = 6667:TCP:*:Enabled:@xpsp2res.dll,-22005
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4909
