| |
VSantivirus No. 875 - Año 7 - Viernes 29 de noviembre de 2002
Troj/Darkgoose. Destructivo troyano que borra Windows
http://www.vsantivirus.com/darkgoose.htm
Nombre: Troj/Darkgoose
Tipo: Caballo de Troya
Alias: W32.Darkgoose.Trojan, QDel350, Troj/QDel350, Eightball skin, Troj/Balleig, Balleig, Trj/Balleig, W32/Darkgoose
Fecha: 27/nov/02
Tamaño: 20,480 bytes (.EXE), 145 bytes (.BAT)
Plataforma: Windows 95, 98, Me, XP (solo borra archivos
en XP)
Este troyano, escrito en Visual Basic 6, crea y ejecuta un archivo BATCH que procede al borrado de todos los archivos de las siguientes carpetas:
C:\
C:\Windows
C:\Windows\System
C:\Windows\System32
Se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra
curiosidad (ver "Falso skin de KaZaa borra todos los archivos de Windows"
http://www.vsantivirus.com/kazaa-eightball.htm).
Para funcionar requiere las librerías runtime de Visual Basic 6 (incluidas en Windows Me y XP).
Sin embargo, la rutina de borrado no funciona en Windows 9x ni en Me, solo lo hace en Windows XP debido a las líneas de comando usadas como parámetros.
Aunque puede ser incluido en cualquier archivo, su mayor propagación ha sido a través del falso skin para KaZaa llamado
"Magic Eightball" (se puede encontrar buscando por "eightball skin" en el propio KaZaa).
Cuando se ejecuta, el troyano crea el siguiente archivo:
C:\Abracadabra.bat
Este .BAT contiene las instrucciones para borrar todos los archivos de las carpetas antes mencionadas.
Solo funciona si las carpetas (y su ubicación) es la mencionada.
Después de creado el archivo, el troyano muestra una serie de mensajes con los siguientes textos:
Texto 1:
Do Like Magic??? Yes you say.
Well then here gose!
Texto 2:
I Can Make things Magically Disapear!!!
Texto 3:
5
Texto 4:
4
Texto 5:
3
Texto 6:
2
Texto 7:
1
Texto 8:
Abracadabra, you computer files are magically
dissapearing!!! Good bye!
Después de mostrar el último texto, el troyano ejecuta el archivo
"C:\Abracadabra.bat" en una ventana DOS oculta, de modo que el usuario no presencia el proceso.
El nombre del ejecutable puede ser modificado fácilmente, por lo que no es posible identificarlo a simple vista.
Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Para quitar el troyano de su sistema, solo borre el ejecutable (puede tener cualquier nombre). Para identificarlo, utilice un antivirus al día para examinar todos los archivos de su disco duro.
En caso de producirse el borrado, Windows fallará, y luego será imposible el reinicio del sistema. Para solucionarlo, se deberá reinstalar Windows y las aplicaciones correspondientes.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualización:
02/dic/02 - Descripción "eightball skin", etc.
02/dic/02 - Alias: QDel350, Troj/QDel350, Eightball skin
03/dic/02 - Alias: Troj/Balleig, Balleig, Trj/Balleig, W32/Darkgoose
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
