Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Balick. Se conecta a Internet para ganar dinero
 
VSantivirus No. 877 - Año 7 - Domingo 1 de diciembre de 2002

 Troj/Balick. Se conecta a Internet para ganar dinero
http://www.vsantivirus.com/balick.htm

Nombre: Troj/Balick
Tipo: Caballo de Troya
Alias: W32.Balick.Trojan
Fecha: 27/nov/02
Tamaño: 28,672 bytes
Plataforma: Windows 32-bit

Este troyano solo pretende conectarse a Internet para acceder a sitios predefinidos con los que el autor obtendría dinero por cada acceso a los mismos. Esto causa una notoria baja en la performance de la conexión, sobre todo cuando se utiliza acceso telefónico.

La primera vez que se ejecuta, muestra una ventana con el siguiente mensaje, el cuál posee además errores ortográficos:

Setup

LIMITATION OR EXCLUSION MAY NOT APPLY
TO YOU. IN NO EVENT SHALL TOTAL
LIABILITY TO YOU FOR ALL DAMAGES,
LOSSES, AND CAUSES OF ACTION
(WHETHER IN CONTRACT, TORT (INCLUDING
NEGLIGENCE), OR OTHERWISE)EXCEED , IF
ANY, FOR ACCESING THIS SOTWARE.
BY AGREEING TO OUR TERMS AND
CONDITIONS, YOU AUTHORISE OUR
SOFTWARE TO INSTALL A SELECTION OF
PACKAGES OR SETTINGS TO HELP TO
SUPPORT OUR DISTRIBUTION

(  ) I Agree   (  ) I do not Agree   [  Continue >>  ]

En caso de seleccionarse "I do not Agree" el troyano termina su ejecución y no hace nada más.

Si usted marca "I agree" y el botón de continuar, el troyano se copia a si mismo en la siguiente ubicación:

C:\Windows\System\Csss.exe

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Luego, se agrega al registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
csss = C:\Windows\System\Csss.exe

Esto hace que el troyano se active cada vez que Windows se reinicia.

A partir de allí, cada vez que lo hace, el troyano intenta conectarse a Internet, a una gran cantidad de sitios para simular clics en avisos que beneficiarían económicamente al autor de este malware.

Note que la primera vez, el troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\Csss.exe

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

csss

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS