Este boletin lo dedicare a un tipo de programas especificos llamados Back Door o puertas traseras.

A pesar de que no son virus, representan un riego de seguridad importante, y usualmente desconocido.

En programacion se le llama una puerta trasera una entrada que crea el programador para accesar mas facilmente a ciertas funciones del sistema que el usuario final no va a usar, pero que son utiles mientras se desarrolla. En los juegos, son comunes para tener vidas ilimitadas o poder saltarse niveles y asi poder probar el el juego. Pero hay una serie de programas que tienen como funcion crear puertas traseras en nuestras computadoras, permitiendo el acceso a intrusos, quienes pueden tener nuestras claves y nuestros archivos.

Usualmente estos programas no se reproducen solos como los virus, sino que nos son enviados con el fin de tener acceso a nuestros equipos, por lo que usualmente no son faciles de detectar y ya que por si solos no causan daños ni efectos, por lo que pueden permanecer activos mucho tiempo.

• . i. Backdoor.Asylum
• . ii. Backdoor.Polydrop
• . iii. Backdoor.Wincrash
• . iv.Backdoor.deepthroat.b
• . v. computacion segura

 
 Tipo      : Caballo de troya.
Ejecutable: WINCMP32.EXE
tamaño    : 7,158 bytes
   

Este Caballo de troya no deja ninguna indicacion visual de que se ha infectado. Cuando se activa por primera ves, modifica el registro para que se ejecute automaticamente cuando se inicia la computadora. Sin embargo se nota una apreciable disminucion en la velocidad del trabajo pues este consume hasta el 90% de los recursos de la maquina.

El caballo abre numerosos puertos de comunicacion via red o internet, para recibir ordenes y comunicaciones, ademas intenta enviar una lista de passwords e inforamcion sobre el sistema al creador del Troyano.

El troyano modifica los archivos Win.ini y sistem.ini. En Win.ini añade la siguiente entrada:

 
  C:\WINDOWS\WINCMP32.EXE
   

En system.ini añade lo siguiente:

 
   WINCMP32.EXE
   

Modifica el registro y añade los siguientes registros:

 
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   

Desde DOS localice y borre el siguiente archivo

 
  c:\windows\wincmp32.exe.
   

Reinicie, y edite win.ini y sistem.ini para eliminar las entradadas que se refieran a wincmp32.exe

Use el editor del registro de windows para eliminar los registros que se han descrito

 
 tipo:        Caballo de troya
Ejecutable : Cambia al azar
Archivo:     10,000 bytes arpox.
Alias:       Backdoor.Trojan, Trojan Horse
   

Este caballo de troya no presenta indicadores visuales de que ha infectado. Modifica el sistema apra iniciarse a si mismo en el arranque. Ademas pone una copia de si mismo, con un nombre al azar en en directorio de windows.

 
 tipo:          Caballo de troya
   

Cuando se intala estre caballo de troya permite que otros tengan acceso completo al sistema a traves de una coneccion de red. El programa esta dividido en dos parte, un cliente y un servidor. Ambas aplicaciones son capaces de correr bajo windows 95, 98 y NT. El cliente puede usarse para monitorear y controlar una segunda computadora qeu tenta instalado la parte Servidor.

Se puede configurar que numero de puerto se utilice para controlar,aunque el uso de un firewall es capaz de impedir la infiltracion.

Es capas de comunicarce a traves de tcp/ip y UPD. La unica indicacion de infeccion es una baja enla velocidad de la computadora, pues el programa contantemente revista todos lospuertos de coneccion.

Una ves que alguen se ha conectado, es capas de leer passwords, subir y bajar archivos y ejecutar programas.

Como ejemplo esta es una lsita de las ordenes del servidor:

• . Lock/unlock mouse pointer.
• . Hide the Taskbar and disable the Start button.
• . Set the volume control.
• . Disable all Windows key combinations such as
• . Ctrl+Alt+Del, Alt+Tab, and Ctrl+Esc.
• . Choose up to a total of 7 ASCII draws to print on the
• . server printer pictures such as a big head of an alien, a
• . devil, or the Simpson's family.
• . Log all pressed keys and all shell actions.
• . Show all passwords, active processes, and port
• . connections.
• . Disconnect ICQ, mIRC, and all Internet services.
• . Copy, delete, rename, upload, and download files or
• . directories.
• . Create, set, or delete registry keys.

 
 alias    : Backdoor.deepthroat.b
Categoria: Caballo de troya
archivo  : 200 Kbytes
daños    : libera informacion confidencia y permite
            a usuarios no autorizados enrar a su maquina.
sistemas : Windows 95 y NT
   

Al igual que todos, no hay indicadores visuales de la infeccion. Si llega como un attachment y se ejecuta, modifica el registro para que se peuda ejecutar como un servicio al reiniciar la maquina. Cuando se instala permite que otros tengan acceso completo a su maquina atraves de una coneccion de red.

Modifica el registro de windows:

 
 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   

con el siguiente valor:

 
 c:\windows\temp\SystemDLL32
   

• . localice y borre el archivo "SystemDLL32"
• . Elimine el registro de windows que contiene ese valor.
• . Reinicie windows y asegurece de que no se ha vuelto a reinstalar.