Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Malware / DeepThroat analizado por HispaSec

DeepThroat analizado por HispaSec

Por Leave a Comment

Hace unos días hablábamos en nuestras noticias de un nuevo troyano que se sumaba a la moda del Back Oriffice y del NetBus. DeepThroat el elemento en cuestión ha sido analizado en el laboratorio de HispaSec.
Hace unos días hablábamos en nuestras noticias de un nuevo troyano que se sumaba a la moda del Back Oriffice y del NetBus. DeepThroat el elemento en cuestión ha sido analizado en el laboratorio de HispaSec.

Como os comentamos anteriormente el laboratorio de HispaSec se encontraba analizando el nuevo troyano conocido como DeepThroat. Tras un estudio preliminar podemos adelantaros nuestras primeras conclusiones sobre este troyano. El programa servidor utiliza los puertos 2140 y 3150, mientras que el cliente abre el puerto 60000.
Curiosamente y al contrario que ocurre con el popular BO el programa servidor se queda tal cual una vez instalado en una máquina. Es decir, no crea nuevos archivos, ni se renombra, ni nada similar, funcionando desde el directorio en que se ejecute por primera vez. Recordamos que por defecto el nombre del servidor es «systempatch.exe».
Lo que sí ha podido comprobar nuestro Laboratorio de Investigación de HispaSec es que al instalar el servidor se crea una nueva clave en el registro.
La ruta en el registro para la nueva clave es: HKEY_LOCAL_MACHINE/SOFTWARE/WINDOWS/CURRENTVERSION/RUN
Tomando como nombre: SystemDLL32 y el valor: [path]systempatch.exe
Donde [path] es la ruta completa en donde se ha ejecutado y se encuentra el programa.
En caso de sospecha de tener instalado este programa bastará comprobar si los puertos 2140 y 3150 se encuentran activados. Para ello se puede emplear el comando «netstat –an», con ello se listan todos los puertos que se encuentran activos en la máquina local, si aparecen los puertos mencionados se puede tener la seguridad de tener instalado DeepThroat. En cuyo caso podemos proceder a borrar su presencia eliminando la clave del registro anteriormente mencionada. También se puede borrar el programa para anular su efecto, pera poder borrarlo se ha de arrancar la máquina desde MS-DOS o bien borrar antes la clave del registro y arrancando Windows de nuevo.

Bernardo Quintero/Antonio Ropero
Laboratorio Investigación HispaSec

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.