DeepThroat analizado por HispaSec

Hace unos días hablábamos en nuestras noticias de un nuevo troyano que se sumaba a la moda del Back Oriffice y del NetBus. DeepThroat el elemento en cuestión ha sido analizado en el laboratorio de HispaSec.
Hace unos días hablábamos en nuestras noticias de un nuevo troyano que se sumaba a la moda del Back Oriffice y del NetBus. DeepThroat el elemento en cuestión ha sido analizado en el laboratorio de HispaSec.

Como os comentamos anteriormente el laboratorio de HispaSec se encontraba analizando el nuevo troyano conocido como DeepThroat. Tras un estudio preliminar podemos adelantaros nuestras primeras conclusiones sobre este troyano. El programa servidor utiliza los puertos 2140 y 3150, mientras que el cliente abre el puerto 60000.
Curiosamente y al contrario que ocurre con el popular BO el programa servidor se queda tal cual una vez instalado en una máquina. Es decir, no crea nuevos archivos, ni se renombra, ni nada similar, funcionando desde el directorio en que se ejecute por primera vez. Recordamos que por defecto el nombre del servidor es «systempatch.exe».
Lo que sí ha podido comprobar nuestro Laboratorio de Investigación de HispaSec es que al instalar el servidor se crea una nueva clave en el registro.
La ruta en el registro para la nueva clave es: HKEY_LOCAL_MACHINE/SOFTWARE/WINDOWS/CURRENTVERSION/RUN
Tomando como nombre: SystemDLL32 y el valor: [path]systempatch.exe
Donde [path] es la ruta completa en donde se ha ejecutado y se encuentra el programa.
En caso de sospecha de tener instalado este programa bastará comprobar si los puertos 2140 y 3150 se encuentran activados. Para ello se puede emplear el comando «netstat –an», con ello se listan todos los puertos que se encuentran activos en la máquina local, si aparecen los puertos mencionados se puede tener la seguridad de tener instalado DeepThroat. En cuyo caso podemos proceder a borrar su presencia eliminando la clave del registro anteriormente mencionada. También se puede borrar el programa para anular su efecto, pera poder borrarlo se ha de arrancar la máquina desde MS-DOS o bien borrar antes la clave del registro y arrancando Windows de nuevo.

Bernardo Quintero/Antonio Ropero
Laboratorio Investigación HispaSec

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

DeepThroat analizado por HispaSec

Publicaciones relacionadas

Una al Día

Aviso Legal

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

Una al Día

Aviso Legal