Troj/Backdoor AVH

AVH es un destructivo troyano/backdoor reportado el 04 de Mayo del 2003, que ingresa a los sistemas través del puerto TCP 8583, aunque éste puede variar, con un archivo de nombre net.exe. Envía la  información capturada, al hacker poseedor del software Cliente en mensajes de correo, vía el ICQmail, pero también puede hacer uso de otros servicios de Internet para propagarse, tales como el IRC (Internet Chat Relay), redes Peer to Peer o Grupos de Noticias.

Una vez ingresado a un sistema, se auto-copia a la carpeta %Windir% con el nombre net.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"net" = "%Windir%\net.exe" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components] 
net "StubPath" = "%Windir%\net.exe ASC"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. 

La información enviada por correo al hacker, a través del ICQmail, es la siguiente: 

• Dirección IP del sistema infectado
• Puerto
• Nombre de Usuario y Password de acceso al Servidor.
• Nombre del Servidor
• Versión de Windows
• Nombre de la computadora

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente podrá tomar el control de los mismos.

Los payloads de este troyano/backdoor son los siguientes:

• Captura información del sistema infectado y la envía al hacker, por correo vía el ICQmail.
• Captura o descarga archivos a los sistemas infectados.
• Crea, borra o renombra directorios y carpetas.
• Borra o renombra archivos.
• Ejecuta programas o archivos.
• Formatea el disco duro. 

PER ANTIVIRUS® versión 8.1 con registro de virus al 04 de Mayo del 2003 detecta y elimina  eficientemente este troyano/backdoor.

Nota: existe una diferencia de 7 horas entre Perú (-5 GMT) y España (+2 GMT)