FICHA TECNICA VIRUS ENCONTRADOS

Regional Distrito CapitalCentro de Gestión de Mercados, Logística y

Tecnologías de la Información

MANTENIMIENTO DE HARDWARE

2008

Sistema de Gestión de la Calidad




Fecha:

Control del Documento

Nombre Cargo Dependencia Firma Fecha

AutoresJuan camilo Rodríguez

Ibagué Alumno

Centro de Gestión de Mercados, Logística y


Juan camilo

18/08/08

Revisión Ing. José Méndez Instructor

Centro de Gestión de Mercados, Logística y






Fecha:

PROCEDIMIENTO PARA LLEVAR A CABO LA PRÁCTICA DE VIRUS:

Para llevar a cabo la práctica de virus se llevo a cabo el siguiente proceso:

Primero que todo se descargaron 5 virus diferentes de Internet de la pagina www.trojanfrance.com. Entre los nombres de estos virus se encuentran:

Lanfiltrator.exeSubseven 2.0 Happy 99Erazer lite 0.1Nuclear rat

Después de esto se ejecutaron dos de estos virus. El primero fue el virus llamado lanfiltrator el cual fue ejecutado con el antivirus desactivado como se muestra en la siguiente imagen:

Después de activado el paso seguir fue observar los estragos que causo el virus y de acuerdo a lo observado lo único que sucedió fue que el PC se puso un poco lento.

Después de diez minutos de observación activamos de nuevo el antivirus y se procedí a escanear el disco duro como se muestra en la siguiente en la siguiente imagen:

http://www.trojanfrance.com/





Fecha:

Después del pasar el 65 % la alarma de virus apareció en la pantalla como se muestra en la siguiente imagen

Después de hacer esto se reinicio el computador y se inserto el CD de arranque del antivirus f-Prot. Después del arranque de este se escaneo el disco duro con este y no se encontró ningún virus por lo que se cree que el computador quedo completamente limpio.

En la siguiente foto se muestra el menú principal del f-Prot. Y se oprime enter para poder iniciar con el escaneo





Fecha:

Los resultados arrojados por este se ven en las siguientes fotos y se verifica que no hay ningún virus en el computador





Fecha:

Después de esto se inicio de nuevo el mismo proceso con otro virus el cual en esta ocasión fue el subseven el cual hace la función de programa espía pero a su vez este archivo trae un virus ejecutable. Después de ejecutarlo y durante el escaneo con el avast se disparo la alarma de un virus la cual se muestra en la siguiente imagen.

Después se hizo de nuevo el escaneo con el f-Pro y no se encontró ninguna clase de virus.

Así terminamos nuestra práctica de virus y empezamos en la búsqueda de la ficha técnica en Internet y las cuales se muestran a continuación:

FICHA TECNICA VIRUS ENCONTRADOS:

lanfiltrador:

Nombre: W32/LanfiltratorAlias: Backdoor. Lanfiltrator

Tipo: Troyano

Tamaño: 607,240 bytes

Origen: Internet

Destructivo: SI

En la calle (in the wild):

SI





Fecha:

Detección y eliminación:

The Hacker 5.3 ó 5.4 al 13/12/2002.

Descripción:

W32/Lanfiltrator, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada. Tiene la capacidad de finalizar procesos de antivirus y Firewalls, captura las pulsaciones del teclado.

Cuando este se ejecuta se copia así mismo en:

C:\WINDOWS\[nombre predefinido]C:\WINDOWS\SYSTEM\[nombre predefinido]

Además crea una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"[nombre predefinido]"="[ruta y nombre predefinido]"

Cuando el troyano se instala queda a la espera de órdenes (comandos) remotas de su creador, las órdenes podrían realizar las siguientes acciones:

Enviar información de la computadora y de la red a su creador. Capturar passwords. Iniciar una sesión mIRC, iniciar el servidor FTP. Editar el registro del sistema. Finalizar procesos. Abrir y cerrar la bandeja del CD-ROM o alguna otra acción Manipula los archivos del sistema Mostrar mensajes Cambiar la configuración de la computadora.

Subseven 2.2:

Nombre: Trojan. SubSeven.2.2Tipo: Caballo de Troya de Acceso RemotoFecha: 10/mar/01Nombre del servidor: SubSevenTamaño del servidor: 54.5 KbytesArchivo del servidor: server.exeIcono del servidor: Clásico de un programa de Win16:





Fecha:

Infecta: Windows 95/98/ME/NT/2000Puerto por defecto: 27374 TCP (puede ser cambiado)

Se trata de la última versión (final, no beta), de uno de los caballos de Troya más famosos.

SubSeven 2.2 es un troyano del tipo Backdoor (acceso por la "puerta trasera"), que toma el control remoto de la PC atacada sin conocimiento de su propietario. La mayoría de las acciones posibles, también pueden pasar inadvertidas, convirtiéndose en un verdadero ataque a la privacidad, no solo por la capacidad de controlar una PC en forma remota, sino también por la de obtener y alterar todo tipo de información presente en ella.

El troyano en si consta de cuatro archivos: el servidor, que se instalará en el PC infectado, el cliente, desde donde el atacante podrá controlar al PC que haya sido infectado con el servidor, un DLL necesario para su funcionamiento (ICQMAPI.DLL) y el editor para personalizar el servidor (EDITSERVER.EXE).

Para ejecutar el servidor en la PC de la víctima, casi siempre se apela a la inocencia y credulidad de su dueño, quien ejecuta un supuesto utilitario enviado por un "amigo" o un desconocido, o bajado de Internet, muchas veces disfrazado de inocente programa.

Una vez ejecutado, el atacante, a través del programa cliente, podrá tomar el control del servidor (y por ende de la máquina de la víctima), a través de una comunicación realizada (en principio, porque es configurable), por el puerto TCP 27374.

FICHA TECNICA VIRUS ENCONTRADOS

Documents

Transcript of FICHA TECNICA VIRUS ENCONTRADOS