Keylog

Se auto-copia a la carpeta %System% como mskhpk.exe de 70 KB y mskhpk.dll con 18 KB respectivamente.

Para activarse la próxima vez que se inicie el sistema genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TwkCplDaemon" = %System%\mskhpk.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Una vez activado el troyano/backdoor, capturará las teclas digitadas por el usuario y por medio de su propio SMTP (Simple Mail Transfer Protocol) enviará esta información al buzón de correo qqq@chat.ru que es una dirección real basada en la web, del portal ruso:

Usando un "rastreador de Puertos" también puede ingresar a través de cualquier otro puerto que se encuentre habilitado o abierto, aunque los 3 antes mencionados son lo más usuales, con la posibilidad de tomar control remoto de los sistemas. Asimismo puede ser descargado via HTTP, FTP o cualquier otro servicio de Internet.

Quizás, en más de una oportunidad Ud. se haya percatado que "alguien" intenta conectarse a su sistema a través del puerto 137, aún teniendo instalado un Firewall, el cual emitirá la correspondiente advertencia.

Cabe mencionar que cada computadora conectada a una red o a Internet, es identificada por una dirección IP (Internet Protocol), que está compuesta por 4 grupos de un máximo de 3 dígitos, separados por un punto.

Ejemplo: 192.168.52.12

En lugar de recordar un número como 192.168.52.12, es más fácil asociarlo al nombre de un dominio:

www.dominio.com.

El servicio de directorios DNS (Domain Name Server) se encarga de traducir este número y para ello utiliza el puerto 53 y a través del mismo se comunica con las direcciones IP.

Sin embargo, MS Windows mantiene su propio sistema para traducir una dirección IP en un "nombre de Windows".

Estos nombres son utilizados para identificar otras computadoras que comparten archivos a través de una red. Curiosamente, MS Windows también intenta obtener un "nombre de Windows" de cualquier otra computadora que intente conectarse a sus sistemas. El resultado es que Windows siempre "rastrea" el puerto 137.

Debido a este hecho, algunos Firewalls, suelen emitir constantes alarmas o dejan en sus archivos Log una o más referencias al uso del puerto 137.

Sin embargo, este accionar no representa de ningún modo una evidencia de ataque. Pero si un intruso intenta acceder a los puertos 138 y 139, además del 137, entonces Ud. deberá preocuparse, porque será una prueba de que alguien intenta conectarse a su computadora en forma ilegal y no autorizada.

Método para verificar vulnerabilidades básicas.

Una forma sencilla de comprobar la vulnerabilidad de su sistema ante lo explicado anteriormente, consiste en usar la instrucción NETSTAT -NA del MS-DOS, la que reportará las conexiones actuales y si su sistema está esperando alguna conexión entrante.

Para ejecutar este Test, siga los siguientes pasos:

Conéctese a Internet.
Luego, haga click en la opción Ejecutar, del menú de Inicio de Windows, ubicado en la parte inferior izquierda de la pantalla.
Escriba COMMAND y pulse [Enter]
Se mostrará una pantalla MS-DOS
Escriba desde la línea de comandos del MS-DOS C:\> NETSTAT -NA
Pulse [Enter]
Si el resultado muestra por lo menos, las tres siguientes líneas, entonces positivamente su PC es vulnerable, aunque pueden mostrarse muchas otras líneas más.

Si se ven las tres direcciones IP, terminando en los dígitos 137, 138 y 139 respectivamente, entonces su sistema será vulnerable a sufrir un ataque por los puertos mencionados.

PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 23 de Enero del 2003 detectan y eliminan eficientemente este troyano/backdoor.