|
Toj_Lanfilt, Lanfilt
Lanfilt es un troyano/backdoor reportado el 21 de Noviembre del 2002, de propagación masiva a través de varios servicios de Internet tales mensajes de correo, redes compartidas P2P, FTP, HTTP, TelNet, etc., que se difunde en un archivo denominado Run322.exe, con una extensión de 224 KB.
Es un PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Una vez infectado un sistema, el software cliente de Lanfilt, permite al hacker o grupo de hackers que lo ha desarrollado y propagado, tomar control del mismo, pudiendo ejecutar comandos y realizar acciones perniciosas o hasta destructivas.
Al ingresar furtivamente a un sistema se auto-copia a la carpeta C:\%windir%\Run322.exe.
Para ejecutarse la próxima vez que se inicie el sistema generará la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
System = "C:\%windir%\run322.exe"
%windir% es una variable de C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
Inicialmente el troyano crea un archivo
"log" en el directorio
raíz C:\001.sys
en el cual registrará todas sus actividades.
En forma aleatoria abre tres puertos TCP
(Transmission Control Protocol) para permitir el
control remoto desde el software Cliente y el archivo
infectado que es el software Servidor.
Ejemplo de Troyano/Backdoor Cliente:
Sus primeras acciones consisten en terminar
los procesos de los software antivirus, firewalls y programas de monitoreo
que se encuentren instalados,
para facilitar su control absoluto.
Luego el intruso podrá ejecutar una enorme variedad de comandos y acciones
perniciosas o destructivas en los sistemas infectados, tales como:
PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 21 de Noviembre del 2002 detectan y eliminan eficientemente este troyano/backdoor.
