Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Doal.A. Un generador de claves para XP borra archivos
 
VSantivirus No. 725 - Año 6 - Martes 2 de julio de 2002

W32/Doal.A. Un generador de claves para XP borra archivos
http://www.vsantivirus.com/doal.htm

Nombre: W32/Doal.A
Tipo: Caballo de Troya
Alias: W32.Doal.Trojan, TROJ_DOAL.A
Fecha: 1/jul/02
Tamaño: 580,923 bytes (Load.exe 312,606 bytes)
Plataformas: Windows 32-bits
Fuentes: Trend, Symantec

Este Troyano se asemeja al Troj/Whistler.A (W32.Whiter.Trojan), en el hecho de que simula ser un generador de claves para Windows XP. Sin embargo, lo único que hará, será borrar todos los archivos del disco duro en que se ejecute.

La forma más común para propagarse de este troyano, es a través de programas que permiten compartir archivos entre usuarios, tales como KaZaa o Morpheus.

Aunque el nombre con el que podría presentarse en las listas de estos programas, suele ser "Windows XP Home Edition Keygen.exe", esto puede ser fácilmente modificado.

El troyano está programado en Visual C++ y su icono representa la bandera de Windows (el icono de Mi PC en Windows XP). El instalador está creado con la utilidad 'Vise'.

El icono del troyano representa la bandera de Windows (el icono de Mi PC en Windows XP)

El troyano libera el archivo 'load.exe', el cuál será ejecutado cada vez que Windows se reinicie.

Cuando se ejecuta muestra un mensaje relacionado con la falta de espacio en el disco (not have enough disk space), y pregunta si el usuario desea continuar. Si éste contesta afirmativamente, se borran archivos claves de la unidad C:

El gusano crea primero un directorio llamado 'Windows XP Home Keys' en la carpeta de Archivos de programa (Program Files). En ese directorio genera un archivo de texto de 499 bytes llamado 'Windows XP Home Edition Serials.diz' que contiene números seriales para la versión Home Edition de Windows XP. También crea un acceso directo de dicho archivo en el escritorio.

Luego coloca una copia de si mismo en la siguiente ubicación:

C:\Archivos de programa\Common Files\Software\Load.exe

Este archivo muestra el icono que vimos antes.

Para autoejecutarse en próximos reinicios, el troyano genera la siguiente entrada en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Tasks = C:\Archivos de programa\Common Files\Software\Load.exe

En cada reinicio, el troyano mostrará el mensaje de falta de espacio en el disco, y si la opción seleccionada es SI, entonces se borrarán todos los archivos que luego sean accedidos.

También se borrarán los archivo 'Win.com', 'Autoexec.bat' y numerosos .DLL en la carpeta Windows\System. Esto causará inestabilidad en el sistema, y la imposibilidad de reiniciarse correctamente.


Reparación manual

La única manera de evitar el borrado de los archivos, es responder con un NO la pregunta de la falta de espacio.

Luego, siga los siguientes pasos para eliminar el troyano de un sistema infectado.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Microsoft Tasks

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Actualice sus antivirus

6. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

7. Borre los archivos detectados como infectados

IMPORTANTE: Si el troyano se ha ejecutado, y se han borrado archivos vitales del sistema, deberá reinstalar los mismos desde un respaldo, o reinstalar Windows y los programas correspondientes.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS