Troj/Netdex-A

Vea la información para eliminar troyanos.

Vea la información (en inglés) para eliminar troyanos.

Troj/Netdex-A es un troyano de puerta trasera que permite el acceso remoto no autorizado al equipo afectado. El troyano está compuesto por diferentes archivos. Al visitar una Web infectada, podría abrirse el archivo BANNER.HTML.

BANNER.HTML copia y ejecuta dos archivos, A.COM y ZSHELL.JS. Este último se copiará en la carpeta de las Cookies y al ejecutarse crea un archivo BAT que ejecutará A.COM, para borrarlo a continuación al igual que el archivo BAT. Finalmente ZSHELL.JS ejecutará NETD.EXE que se crea en la carpeta Temp de Windows cuando se ejecuta A.COM. Toda la comunicación con el servidor remoto se realiza a través de NETD.EXE, que descargará el archivo INSTALL.PHP.

INSTALL.PHP crea el archivo REPOST.HTML y modifica el registro del sistema para ejecutarlo. A continuación ejecuta NETD.EXE para realizar la descarga de SH.PHP.

SH.PHP es la parte principal del troyano y ejecuta NETD.EXE para obtener la lista de comandos que debe ejecutar. SH.PHP se copia en ZSHELL.JS (NETD.EXE utiliza dos archivos para la entrada y salida: lee I.JS para las entradas hacia el servidor y lee O.JS para los datos recibidos. El nuevo O.JS se copia en ZSHELL.JS para permitir la actualización remota). El archivo ZSHELL.JS se actualiza de forma periódica.