De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Denilson Giungi
Data de Publicação: 25 de Junho de 1999
Foi verificada a existencia de um novo cavalo de troia, chamado WinSatan. O original em Espanol, escrito por Julio Cesar Hernández, esta traduzido e condensado abaixo
O cavalo de troia, dizendo-se um SATAN para ambiente Windows, pode ser obtido em: http://music.acmecity.com/orchestra/29/WinSATAN.zip
Apos a instalacao o programa cria um programa chamado fs-backup.exe no diretorio C:\windows e uma chave no registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run com o nome de RegisterServiceBackup apontando para C:\windows\fs-backup.exe e permite que o programa seja executado a cada inicializacao do Windows.
A execucao do cavalo de troia nao fica registrado na barra de tarefas, no "Task Manager", CTRL+ALT+Del ou SystemTray.
Observando com um sniffer e/ou editor hexadecimal, verifica-se que o programa tenta conectar-se com um dos servidores de IRC, predefinidos no codigo fonte.
irc.stealth.net
irc.webbernet.net
ircnet.sprynet.org
irc.univ-lyon.fr
irc.rus.uni.stuttgart.de
eu.ircnet.org
us.ircnet.org
web.im.tut.fi
Apos obter conexao com um desses servidores o programa envia o seguinte:
Online!. I am <Dominio da maquina infectada>.
I use Windows 95, my CPU is an Intel Pentium ".
Esta mensagem e' enviada, de forma alternativa, aos usuarios "scroll" e "scroll1" do servidor IRC que estao normalmente conectados, usando Privmsg.
Aparentemente o ataque esta restrito a máquinas Windows 3.x/95/98
2) Diagnostico:
Executar o comando "c:\>netstat -an" e verificar se existe alguma conexao (involuntaria) a algum servidor IRC (exemplo:
165.121.1.47:6667)
C:\windows\fs-backup.exe ( com tamanho aproximado de 366Kbs ).
Verificar entradas desnecessarias na chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3) Desinfeccao:
Remover o arquivo C:\windows\fs-backup.exe, apos remover a chave equivalente no registry.
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários