VSantivirus No. 771 - Año 6 - Domingo 18 de agosto de 2002Troj/Portacopo:br. Troyano sumamente destructivohttp://www.vsantivirus.com/portacopo.htm
Nombre: Troj/Portacopo:br
Tipo: Caballo de Troya
Alias: Trojan.Portacopo:br
Fecha: 8/ago/02
Tamaño: 475,648 bytes
Plataforma: Windows 95 y 98
Este troyano, aparentemente creado en Brasil, ha sido reportado en diversas redes compartidas de archivos entre usuarios (Peer-to-peer) tales como KaZaa, Morpheus, etc., en un archivo de nombre PORTACOPOS.EXE, y contiene una rutina altamente destructiva que solo afecta a usuarios con Windows en portugués.El nombre (portavasos en español), hace referencia a una popular broma sobre el uso como portavaso de la bandeja de la lectora de CD, y apela a esto para engañar al usuario y obligarlo a su ejecución.Está escrito en Delphi, y se presenta con un icono similar al usado por las aplicaciones creadas con Shockwave.Cuando el troyano se ejecuta por primera vez, se presenta una ventana de diálogo con el siguiente mensaje:
"Multifuncional Voce acaba de descobrir mais umexcelente recurso de seumicrocomputador!"[ Utilizar ]
Al pinchar en el botón [Utilizar], la bandeja de la lectora de CD se abre, y al mismo tiempo se muestra este otro mensaje:
"Porta Copos Un excelente e util PORTA COPOS!"[ OK ]
Al pinchar en el botón [OK] aparece este nuevo mensaje:
"Multifuncional Voce acaba de descobrir mais umexcelente recurso de seumicrocomputador!"[ Fechar ]
Al pinchar en [Fechar] se cierra la bandeja.Mientras estos mensajes son mostrados, el troyano se copia a si mismo como WSYS.EXE en la carpeta Windows:
C:\Windows\WSys.exe
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).
Luego modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema infectado:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunBOOTVerify=C:\Windows\WSys.exe /plus
También se crea esta entrada:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CountStart = 1
El contador aumentará de 1 en 1 en cada ejecución del troyano en la computadora infectada.En sistemas en portugués, se sobrescriben todos los archivos no abiertos por el sistema en todas las carpetas y subcarpetas de las unidades de disco locales y las compartidas en red. Los archivos sobrescritos quedan todos con un tamaño de 1 byte de longitud.
Note que se trata de un programa maligno, no es un virus ni un gusano, que pueda propagarse por si solo, aún cuando haya sido visto en el intercambio de archivos a través de utilidades como KaZaa.
Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, en este caso, simulando mostrar una 'original' manera de convertir nuestra lectora de CD en un 'práctico' portavasos.
Reparación manual
Si se ha ejecutado la rutina destructiva del troyano, no hay forma de reparar los archivos sobrescritos, debiéndose reinstalar Windows y todos los programas.En caso contrario, para reparar manualmente la infección provocada por este troyano, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1.Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Boot Verify
Boot Verify
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en WindowsMe VSantivirusNo.499-19/nov/01
Limpieza de virus en WindowsXP VSantivirusNo.587-14/feb/02
Nenhum comentário:
Postar um comentário