Regional Distrito Capital

Centro de Gestión de Mercados, Logística y

Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS
DE CÓMPUTO

July Paola borda torres

40092

Teleinformática

2009
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

Control del Documento

Nombre Cargo Dependencia Firma Fecha

Centro de Gestión de
Mercados, Logística y
Autores July Paola borda Alumno 27-02-09
Tecnologías de la
Información
Centro de Gestión
de Mercados,
Revisión Ing. José Méndez Instructor Logística y
Tecnologías de la
Información

Pedro Pablo Perez

40092
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

EVIDENCIA

Virus troyano
Un troyano es similar a un virus, es un programa que busca propagarse y
sobretodo atreves de aplicaciones de internet como el –email, ICQ y chat las
diferencias básicas de los troyanos es que pueden capturar datos y
reenviarlos a una dirección externa, abrir puertos de comunicaciones para
que un intruso pueda entrar y salir de un sistema las veces que se le antoje.

Tipos de troyanos:

Troyanos recolectores de contraseñas:

Este tipo de troyanos buscan las contraseñas almacenadas en el

computador como archivos que exigen documentos tipoi
contraseña (secuencia visualizada con asteriscos en pantalla)
este es enviado por correo electrónico al atacante. en esta
categoría entran los troyanos que recolectan targets de crédito e
información relacionadas con las mismas.

Troyanos que modifican los privilegios

Esta programado para engañar a los administradores de sistemas

estos pretender ser un sistema inocuo.

Pedro Pablo Perez

40092
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

Ficha técnica de virus Sis32.exe

Gusano que se propaga usando la vulnerabilidad de lsass local security

Authoryti subsistem que utiliza un Bot. ICR para conectarse a un servidor irc
esperando comandos remotos

CARACTERISTICAS

Cuando el gusano se ejecuta crea una copia de si mismo dentro de la carpeta

C:\WINDOWS\SYSTEM con el siguiente nombre: sys32.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y

"c:\windows\system32" pueden variar ("c:\winnt", "c:

\winnt\system32", "c:\windows\system").

Para ejecutarse en cada inicio del sistema crea lasSiguientes claves en el registro de
Windows:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Runonce
Win32 USB2 Driver = sys32.exe

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Win32 USB2 Driver = sys32.exe

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
Win32 USB2 Driver = sys32.exe

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
Win32 USB2 Driver = sys32.exe

Pedro Pablo Perez

40092
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Win32 USB2 Driver = sys32.exe

HKU\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\RunOnce
Win32 USB2 Driver = sys32.exe

HKU\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Run
Win32 USB2 Driver = sys32.exe

Crea la siguiente clave para ejecutarse como un servicio:

HKLME\SYSTEM\CurrentControlSet
\Services\Win32

El gusano utiliza la vulnerabilidad LSASS (Local Security Authority Subsystem).

Un atacante externo puede realizar las siguientes accione

Crear copias del gusano.

Borrar o crear redes compartidas.
Establecer una conexión remota utilizando una consola.
Obtener claves, nombre de usuario y dominio.
Obtener información del sistema.
Cambiar los privilegios IRC.
Realizar un ataque de denegación de servicio.
Utilizar comandos IRC.
Buscar puertos abiertos.
Apagar el equipo.
Terminar procesos.
Descargar o subir archivos.

También roba números de serie (CD-Keys) de varios video juegos

Pedro Pablo Perez

40092
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

INSTRUCCIONES PARA ELIMINARLO

1. Desconecte el equipo de cualquier red (local o internet).

2. Descargue y ejecute el parche correspondiente del siguiente enlace:

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

3. Desactive la restauración automática en Windows XP/ME.

4. Reinicie en Modo a prueba de fallos.

5. Ejecute un antivirus actualizado y elimine los archivos infectados.

6. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro
del sistema.

7. Elimine bajo la columna "Nombre", la entrada "Win32 USB2 Driver", en la

siguiente clave del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Runonce

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run

HKU\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\RunOnce

Pedro Pablo Perez

40092
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

HKU\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Run

8. Cierre el editor del Registro del sistema.

9. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia

del gusano.

NOTA: Se sugiere cambiar todas las contraseñas y otra información crítica que
pudiera haber sido robada de su computadora, incluidos los datos de su tarjeta de
crédito y cuentas bancarias.

Pedro Pablo Perez

40092