| |
VSantivirus No. 725 - Año 6 - Martes 2 de julio de 2002
W32/Doal.A. Un generador de claves para XP borra archivos
http://www.vsantivirus.com/doal.htm
Nombre: W32/Doal.A
Tipo: Caballo de Troya
Alias: W32.Doal.Trojan, TROJ_DOAL.A
Fecha: 1/jul/02
Tamaño: 580,923 bytes (Load.exe 312,606 bytes)
Plataformas: Windows 32-bits
Fuentes: Trend, Symantec
Este Troyano se asemeja al Troj/Whistler.A (W32.Whiter.Trojan), en el hecho de que simula ser un generador de claves para Windows XP. Sin embargo, lo único que hará, será borrar todos los archivos del disco duro en que se ejecute.
La forma más común para propagarse de este troyano, es a través de programas que permiten compartir archivos entre usuarios, tales como KaZaa o Morpheus.
Aunque el nombre con el que podría presentarse en las listas de estos programas, suele ser
"Windows XP Home Edition Keygen.exe", esto puede ser fácilmente modificado.
El troyano está programado en Visual C++ y su icono representa la bandera de Windows (el icono de Mi PC en Windows XP). El instalador está creado con la utilidad 'Vise'.
El troyano libera el archivo 'load.exe', el cuál será ejecutado cada vez que Windows se reinicie.
Cuando se ejecuta muestra un mensaje relacionado con la falta de espacio en el disco
(not have enough disk space), y pregunta si el usuario desea continuar. Si éste contesta afirmativamente, se borran archivos claves de la unidad
C:
El gusano crea primero un directorio llamado 'Windows XP Home
Keys' en la carpeta de Archivos de programa (Program
Files). En ese directorio genera un archivo de texto de 499 bytes llamado
'Windows XP Home Edition Serials.diz' que contiene números seriales para la versión Home Edition de Windows XP. También crea un acceso directo de dicho archivo en el escritorio.
Luego coloca una copia de si mismo en la siguiente ubicación:
C:\Archivos de programa\Common Files\Software\Load.exe
Este archivo muestra el icono que vimos antes.
Para autoejecutarse en próximos reinicios, el troyano genera la siguiente entrada en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Tasks = C:\Archivos de programa\Common Files\Software\Load.exe
En cada reinicio, el troyano mostrará el mensaje de falta de espacio en el disco, y si la opción seleccionada es
SI, entonces se borrarán todos los archivos que luego sean accedidos.
También se borrarán los archivo 'Win.com', 'Autoexec.bat' y numerosos
.DLL en la carpeta Windows\System. Esto causará inestabilidad en el sistema, y la imposibilidad de reiniciarse correctamente.
Reparación manual
La única manera de evitar el borrado de los archivos, es responder con un NO la pregunta de la falta de espacio.
Luego, siga los siguientes pasos para eliminar el troyano de un sistema infectado.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Microsoft Tasks
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Actualice sus antivirus
6. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
7. Borre los archivos detectados como infectados
IMPORTANTE: Si el troyano se ha ejecutado, y se han borrado archivos vitales del sistema, deberá reinstalar los mismos desde un respaldo, o reinstalar Windows y los programas correspondientes.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
