Hace unos días hablábamos en nuestras noticias de un nuevo troyano que se sumaba a la moda del Back Oriffice y del NetBus. DeepThroat el elemento en cuestión ha sido analizado en el laboratorio de HispaSec.
Hace unos días hablábamos en nuestras noticias de un nuevo troyano que se sumaba a la moda del Back Oriffice y del NetBus. DeepThroat el elemento en cuestión ha sido analizado en el laboratorio de HispaSec.
Como os comentamos anteriormente el laboratorio de HispaSec se encontraba analizando el nuevo troyano conocido como DeepThroat. Tras un estudio preliminar podemos adelantaros nuestras primeras conclusiones sobre este troyano. El programa servidor utiliza los puertos 2140 y 3150, mientras que el cliente abre el puerto 60000.
Curiosamente y al contrario que ocurre con el popular BO el programa servidor se queda tal cual una vez instalado en una máquina. Es decir, no crea nuevos archivos, ni se renombra, ni nada similar, funcionando desde el directorio en que se ejecute por primera vez. Recordamos que por defecto el nombre del servidor es «systempatch.exe».
Lo que sí ha podido comprobar nuestro Laboratorio de Investigación de HispaSec es que al instalar el servidor se crea una nueva clave en el registro.
La ruta en el registro para la nueva clave es: HKEY_LOCAL_MACHINE/SOFTWARE/WINDOWS/CURRENTVERSION/RUN
Tomando como nombre: SystemDLL32 y el valor: [path]systempatch.exe
Donde [path] es la ruta completa en donde se ha ejecutado y se encuentra el programa.
En caso de sospecha de tener instalado este programa bastará comprobar si los puertos 2140 y 3150 se encuentran activados. Para ello se puede emplear el comando «netstat –an», con ello se listan todos los puertos que se encuentran activos en la máquina local, si aparecen los puertos mencionados se puede tener la seguridad de tener instalado DeepThroat. En cuyo caso podemos proceder a borrar su presencia eliminando la clave del registro anteriormente mencionada. También se puede borrar el programa para anular su efecto, pera poder borrarlo se ha de arrancar la máquina desde MS-DOS o bien borrar antes la clave del registro y arrancando Windows de nuevo.
Laboratorio Investigación HispaSec
Deja una respuesta