TANTO troyano/backdoor de Internet deshabilita funciones y servicios extrae información del sistema. 

© Jorge Machado  Lima-Perú

Troj/Tanto.H

Tanto.H es un troyano/Backdoor reportado el 23 de Enero del 2008, que se propaga a través de diversos servicios de Internet, principalmente por mensajes de correo MultiSPAM o visitando sitios web con archivos infectados. 

Deshabilita funciones y servicios, extrae información del sistema, la misma que envía a un URL cifrado. 

Infecta a Windows 98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 76KB y comprimido con rutinas propias. 

Al ingresar a un sistema se copia al directorio %Windir% con el nombre de wscntfy.exe cuyo archivo registra como un nuevo servicio del sistema con el nombre de "Microsoft wscntfy Service", que muestra el mismo nombre con el atributo de arranque automático al Inicio del equipo. 

Este servicio se registra bajo la llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Microsoft wscntfy Service]

Al siguiente re-inicio del equipo realiza modificaciones para deshabilitar importantes funciones y herramientas del sistema:

para deshabilitar la activación del Messenger crea la sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Messenger]
Start = 4

para deshabilitar el acceso al Editor de Registros crea la sub-llave: 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteRegistry]
Start = 4

para deshabilitar el Firewall de Windows crea las sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
EnableFirewall = 0

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
EnableFirewall = 0

para impedir la actualización de sistema al SP2 de Windows XP crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1

para deshabilitar el DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N

Para desestabilizar la Seguridad de Windows agrega valores a la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]

El troyano activa su componente Backdoor y captura información crítica del sistema, nombres de usuarios, contraseñas, teclas digitadas, etc. y las envía a través de un puerto TCP abierto a determinado URL cifrado.

PER ANTIVIRUS® versiones 10.3 y X4 con registro de virus al 23 de Enero del 2008 detectan y eliminan este troyano/backdoor. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS