| |
VSantivirus No. 800 - Año 6 - Lunes 16 de setiembre de 2002
Troj/Diskfill-C. Consume todo el espacio del disco duro
http://www.vsantivirus.com/diskfill-c.htm
Nombre: Troj/Diskfill-C
Tipo: Caballo de Troya
Alias: Diskfill-C, TROJ_GARLIC.B
Fecha: 11/set/02
Tamaño: 114,785 bytes
Plataforma: Windows 32-bits
Este troyano está generado con un software comercial legítimo, el intérprete de scripts Hot Soup Processor.
Cuando el usuario lo ejecuta (generalmente engañado por un atacante que pretende hacerlo pasar por alguna utilidad), se muestra un mensaje de error falso:
Load error
Can not loading 'C:\WINDOWS\SYSTEM\WSOCK32.DLL'
[ OK ]
Mientras, los siguientes archivos del propio sistema operativo son copiados en el raíz del disco duro, hasta terminar con la capacidad total del disco duro:
C:\WINDOWS\EXPLORER.EXE
es copiado como C:\MYCONxx.EXE
C:\WINDOWS\SYSTEM\USER.EXE es copiado como C:\USERxx.EXE
C:\WINDOWS\SYSTEM\KERNEL32.DLL es copiado como C:\KERNELxx.EXE
C:\WINDOWS\REGEDIT.EXE es copiado como C:\REGSTxx.EXE
C:\WINDOWS\WINHLP32.EXE es copiado como C:\HELPxx.EXE
C:\WINDOWS\SCANREGW.EXE es copiado como C:\REGxx.EXE |
Donde las 'xx' son dígitos que se van incrementando en cada copia (C:\MYCON1.EXE, C:\MYCON2.EXE, etc.).
En ocasiones, antes de cumplirse el llenado del disco duro, puede ocurrir un error del intérprete, con el siguiente título:
Hot Soup Processor v....
El troyano no produce ningún otro cambio en el sistema infectado.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre el archivo detectado como el troyano
Borrar los archivos creados por el gusano
1. Desde el Explorador de Windows, localice y borre los siguientes archivos (solo los que están en el raíz de la unidad C). Note que el antivirus no los borrará, ya que son copias de archivos legítimos de Windows, que solo ocupan lugar:
C:\REG*.EXE
C:\HELP*.EXE
C:\REGST*.EXE
C:\KERNEL*.EXE
C:\USER*.EXE
C:\MYCON*.EXE
2. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en
estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
