http://www.vsantivirus.com/back-migmaf-a.htm
Nombre: Troj/Backdoor.Migmaf.A
Tipo: Caballo de Troya
Alias: Migmaf, Backdoor.Migmaf, Proxy-Migmaf
Fecha: 11/jul/03
Tamaño: 46,080 bytes
Plataforma: Windows 32-bit
Es un troyano escrito en Microsoft Visual C++, y comprimido con la utilidad
tElock v0.98, que posee capacidades de "Proxy reverso".
Esto es, un usuario solicita una página al servidor infectado, porque coincide
el nombre de dominio con la dirección IP de ese servidor (esto es algo
totalmente transparente para el usuario, quien solo teclea una dirección como "linkxxxsites.com").
El servidor infectado descarga la página del servidor maestro (controlado por un
pirata informático). La dirección IP de este servidor maestro queda oculta.
Finalmente, el servidor infectado muestra la página solicitada al usuario.
Cada 10 minutos el servidor de nombres controlado por el atacante, cambia las
direcciones IP de cada dominio controlado, haciendo que la próxima solicitud de
un usuario sea a otra dirección IP diferente.
El servidor normalmente contiene material pornográfico.
El troyano suele distribuirse manualmente, generalmente bajo la premisa de que
es una inocente utilidad. Los canales de distribución más usados son el correo
electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como
KaZaa y otros.
Cuando el archivo del troyano (que puede tener cualquier nombre), se ejecuta en
la máquina de su víctima, examina la presencia de la siguiente clave del
registro:
HKEY_CURRENT_USER\Keyboard Layout\Preload
Allí comprueba si el idioma del teclado instalado es ruso, y si lo fuera, deja
de ejecutarse y no realiza ninguna otra acción.
Luego crea un mutex (semáforo que indica a otros procesos o al propio troyano,
que ya está activo en memoria.
REQUEST_MANAGE_SUBSYSTEM
Modifica después el registro de Windows, para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Login Service = [nombre y ubicación del troyano]
Establece luego una conexión con el servidor maestro, controlado por el
atacante. Para prevenir la identificación del servidor maestro, el troyano no se
conecta directamente a una dirección IP, sino que crea varias combinaciones de
octetos A+B+C+D al azar:
A = 78, 209, 216
B = 12, 128, 164
C = 55, 211, 216
D = 61, 187, 210
Envía luego información basura al puerto 80 del servidor de Microsoft, para
comprobar la velocidad de conexión, y si el usuario posee banda ancha. Esta
información es enviada al servidor maestro.
En los datos enviados al servidor de Microsoft por el gusano puede verse este
texto:
disclaimer: www.microsoft.com used for
bandwidth speed testing only
En algunas muestras examinadas, el ejecutable del troyano se copiaba con el
siguiente nombre y en la siguiente ubicación:
c:\windows\system32\Wingate.exe
La carpeta "System32" está en C:\Windows (Windows XP) o C:\WinNT (Windows NT y
2000), por defecto.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el
ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro
troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente
cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades
de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión
de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Para la limpieza de este troyano, solo actualice sus antivirus con las últimas
definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego
borre los archivos detectados como infectados.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse
ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la
siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna
"Nombre", busque y borre la siguiente entrada:
Login Service
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar
aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows
Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos
conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas
ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos
los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del
sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder
eliminar correctamente este virus de su computadora, deberá deshabilitar antes
de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com