Troj/TKBot-A

Vea la información para eliminar troyanos.

Vea la información (en inglés) para eliminar troyanos.

Troj/TKBot-A es un troyano de puerta trasera para IRC. Su objetivo principal son equipos con Microsoft IIS versión 4 o 5 en Windows NT/2000 y se aprovecha de la vulnerabilidad denominada "Web Server Folder Traversal". Podrá ver una descripción de dicha vulnerabilidad y obtener un parche en Microsoft Security Bulletin MS00-78.

Al ejecutarse, el troyano crea la carpeta \Archivos de programa\Microsoft\Update\DLL\tk y copia treinta archivos dentro. Dos de estos archivos, rundll.exe y mstaskmgr.exe, se iniciarán como servicio utilizando el programa FireDaemon.exe, incluido con el troyano.

Rundll.exe es un componente de una herramienta comercial para servidores FTP y no está infectado, por lo que no será detectado por Sophos Anti-Virus.

Mstaskmgr.exe es un programa modificado de mIRC, que actúa en conjunción con el script para mIRC task.cnf, y constituye el núcleo principal del troyano. Ambos archivos, mstaskmgr.exe y task.cnf, serán detectados como Troj/TKBot-A.

El troyano permanecerá a la escucha en diferentes canales IRC esperando las instrucciones del atacante, que podrá copiar y descargar archivos, ejecutar programas y obtener información sobre el equipo infectado.

El archivo vmz.exe, también incluido con el troyano, es un archivo autodescomprimible que, si se ejecuta, creará la carpeta \Windows\System32\Microsoft\Crypto, en la que extraerá trece archivos. El servicio svhost será iniciado desde el archivo scvhost.exe, que contiene una aplicación de servidor de archivos IRC y no será detectado por Sophos Anti-Virus.