Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

BAT/Etimolod.A. Destructivo gusano y troyano .BAT
 
VSantivirus No. 758 - Año 6 - Lunes 5 de agosto de 2002

BAT/Etimolod.A. Destructivo gusano y troyano .BAT
http://www.vsantivirus.com/etimolod-a.htm

Nombre: BAT/Etimolod.A
Tipo: Gusano de Internet y troyano .BAT (MS-DOS Batch)
Alias: BAT_ETIMOLOD.A, Dolomite
Fecha: 3/ago/02
Plataforma: Windows/DOS
Tamaño: 13,740 bytes

Este destructivo gusano y troyano, puede propagarse a través de la red de archivos compartidos entre usuarios Peer-To-Peer, KaZaa. Cuando se ejecuta crea varias copias de si mismo en las siguientes ubicaciones:

C:\ 
C:\Windows\System 
C:\Windows\System32 
C:\Windows\Start Menu

Esta última no existe en Windows en español. Por otra parte, el gusano es muy destructivo en plataformas Windows 95, 98, Me y XP, que usan la ubicación por defecto de Windows (C:\Windows).

También crea la siguiente entrada en el registro, para compartir el contenido de la carpeta 'C:\WINDOWS\System32' entre los usuarios de KaZaa:

HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir1" = "C:\WINDOWS\System32"

Al ejecutarse, el troyano, que simula ser una utilidad para hackear conocidos sitios, muestra una ventana (MS-DOS) con las siguientes opciones:

Copyright Dolomite Productions 2002
Please accept and add DOLOMITE.REG to Registry or Device will not work correctly.

Advanced Dolomite Account Hacking Device 2002,
pick number as follows.
<1> = Hack Hotmail Screen Name
<2> = Hack Yahoo Screen Name
<3> = Hack AOL Screen Name
Pick a number <1, 2, 3>

Si la opción seleccionada es la 1 (Hack Hotmail Screen Name), se muestra este mensaje:

YOU HAVE PRESSED ONE,
PREPARING TO HACK HOTMAIL SCREEN NAME......

Se copia a si mismo en 'C:\Windows\System32' con estos nombres (estos archivos estarán disponibles para otros usuarios de KaZaa, sin embargo, debido a las características destructivas del gusano, posiblemente no lleguen a estarlo en la práctica luego de la primera ejecución):

Brittany_Spears_hardcore.jpg.bat 
Michael_jackson_is_a_rich_white_woman.bmp.bat 
Michael_jackson_molest_little_boys(CHILDPORN).avi.bat 
Eminem_fucks_brittany_spears.jpg.bat 
The_real_slim_shady.mp3.bat 
Brittany_spears_the_joy_of_pepsi.mp3.bat 
Brittany_spears_oops_I_did_it_again.mp3.bat 
GTA3_Custom_hacks(WORKS).bat 
child_porn_ogry.jpg.bat 
Resident_evil_Custom_hacks(WORKS).bat 
childporn.mp3.bat 
incest.avi.bat 
mother_and_son_incest.jpg.bat 
father_and_daugher_incest.bmp.bat 
brother_and_sister_incest.avi.bat 
Eminem_D12_full_album_fetcher.zip.bat 
The_bloodhound_gang_full_album_fetcher.zip.bat 
nsync_full_album_fetcher.zip.bat 
98_degrees_full_album_fetcher.zip.bat 
Pink.scr.bat 
Pink_full_album_fetcher.zip.bat 
Metallica_full_album_fetcher.zip.bat 
AOL_Thief.bat 
AIM_Thief.bat 
CUSTOM_PORNSITE_PASSWORDS(300).txt.bat 
LESBIAN_ACTION.avi.bat 
Hardcore_lesbian_action.jpg.bat 
ACCOUNT_HACKER_2002.bat 
AOL_Thief.bat 
AIM_Thief.bat 
Account_hacking_utility.bat 
account_hacker.avi.bat 
MSN_YAHOO_AND_AOL_ACCOUNT_HACKER(WORKS!).bat 
ULTIMATE_ACCOUNT_HACKER_2002.bat 
goatse.avi.bat 
Michael_jackson_secret_child_sex_film!!!.avi.bat 
Michael_jackson_molest_5_children!!!!.avi.bat 
Penny_Bain_skull_fucks_your_mum.avi.bat 
Penny_Bain_eats_a_sausage.avi.bat 
childporn.avi.bat 
the_new_kid.avi.bat 
john_steele_is_incest_lover!!.avi.bat 
john_steele_is_cousin_fucker.avi.bat

También crea los siguientes archivos en el directorio raíz de la unidad C:

dolomite.bat 
dolomite_account_hacking_utility.bat 
lesbian_porn_passwords.txt.bat 
tyflas_passwords.txt.bat 
papaka_passwords.txt.bat 
child_porn_lovers.avi.bat 
lesbian_foot_fetish_orgy.jpg.bat 
fm_concepts_passwords.txt.bat 
free_hentai_passwords.txt.bat 
lesbian_anal_reaming.jpg.bat 
BDSM.avi.bat 
necrophilia.mpeg.bat 
necro_child_sex.gif.bat

Genera los siguientes archivos en el directorio 'C:\Windows\Start menu' (no existe en Windows en español):

childporn.bat 
incest.bat 
cousin_fucker.bat 
charlie!!!!.bat 
John_Steele_is_cousin_fucker.bat 
child_porn_orgy.avi.bat 
lesbian_orgy.jpg.bat 
childsex.gif.bat 
childfuck.bmp.bat 
sadomasochistic_anal_loving_necrophiliacs.bmp.bat

También crea los siguientes archivos en 'C:\Windows\System':

kiddie_porn.jpg.bat 
tyflas_movie_full_length_version.avi.bat 
sweatsweet_dot_com_free_passwords.bat 
newgrounds_mr_akuji.jpg.bat 
free_porn_passwords.txt.bat 
free_porn_passwords.doc.bat 
100_hour_full_length_feature_childporn_film.mpg.bat 
sadomasochistic_anal_loving_necrophiliacs.jpg.bat 
goatse_jr.avi.bat 
sadomasochistic_anal_loving_transvestites.avi.bat 
goatse_jr.avi.bat 
the_3_old_men_orgy_from_stileproject.avi.bat 
sadomasochistic_homosexual_hermaphrodites.avi.bat

Borra los siguientes archivos:

C:\Windows\Options\Cabs\Regedit.exe 
C:\Windows\Regedit\Regedit.exe 
C:\Autoexec.bat 
C:\Windows\System.ini 
C:\Windows\Win.ini 
C:\Windows\System\Setpower.exe

Y también los siguientes directorios y su contenido:

C:\Windows\desktop 
C:\MYDOCU~1

Renombra la carpeta 'C:\Windows' como 'C:\DOLOMITE' y vuelve al menú inicial (note que el sistema estará inestable y posiblemente deje de funcionar).

Si la opción seleccionada es la 2 (Hack Yahoo Screen Name), el gusano muestra el siguiente mensaje:

YOU HAVE PRESSED TWO,
PREPARING TO HACK YAHOO SCREEN NAME......

Luego, se copia en la carpeta 'C:\Windows\System32' con estos nombres:

Brittany_Spears_hardcore.jpg.bat 
Michael_jackson_is_a_rich_white_woman.bmp.bat 
Michael_jackson_molest_little_boys(CHILDPORN). 
Eminem_fucks_brittany_spears.jpg.bat 
The_real_slim_shady.mp3.bat 
Brittany_spears_the_joy_of_pepsi.mp3.bat 
Brittany_spears_oops_I_did_it_again.mp3.bat 
GTA3_Custom_hacks(WORKS).bat 
child_porn_ogry.jpg.bat 
Resident_evil_Custom_hacks(WORKS).bat 
childporn.mp3.bat 
incest.avi.bat 
mother_and_son_incest.jpg.bat 
father_and_daugher_incest.bmp.bat 
brother_and_sister_incest.avi.bat 
Eminem_D12_full_album_fetcher.zip.bat 
The_bloodhound_gang_full_album_fetcher.zip.bat 
nsync_full_album_fetcher.zip.bat 
98_degrees_full_album_fetcher.zip.bat 
Pink.scr.bat 
Pink_full_album_fetcher.zip.bat 
Metallica_full_album_fetcher.zip.bat 
AOL_Thief.bat 
AIM_Thief.bat 
CUSTOM_PORNSITE_PASSWORDS(300).txt.bat 
LESBIAN_ACTION.avi.bat 
Hardcore_lesbian_action.jpg.bat 
ACCOUNT_HACKER_2002.bat 
AOL_Thief.bat 
AIM_Thief.bat 
Account_hacking_utility.bat 
account_hacker.avi.bat 
MSN_YAHOO_AND_AOL_ACCOUNT_HACKER(WORKS!).bat 
ULTIMATE_ACCOUNT_HACKER_2002.bat

Copia los siguientes archivos en el raíz de C:

dolomite.bat 
dolomite_account_hacking_utility.bat 
dolomite_1337.bat 
dolomite_is_everywhere.bat 
dolomite_cannot_lose.bat 
dolomite_is_1337.bat 
dolomite_ownz_you.gif.bat 
dolomite_rulez.jpg.bat 
dolomite_RULES!!!.avi.bat 
dolomite_is_grrrrrrrrrrreat!.bat 
dolomite_is_GRRRRRRRRRRRRREEEEAT!.bat

Y los siguientes archivos en la carpeta 'C:\Windows\Start menu':

Al_Qaida.bat 
Hamas.bat 
Yassir_Arafat.bat 
Ussamah_bin_Laden.bat 
Gadaffi.bat 
Mullah_Muhammad_Omar.bat 
Saddam_Hussein.bat 
Osama_bin_Laden.bat

También copia los siguientes archivos en el directorio 'C:\Windows\System':

Penny_bain.bat
dolomite.jpg.bat
Penny_bain.jpg.bat 
Penny_bain_is_in_your_brain.avi.bat 
bin_Laden.bat 
wheelchair_olympics.pap.bat 
rRlf.jpg.bat 
rRlf.gif.bat 
traekwon.gif.bat 
USA_is_the_great_Satan!.jpg.bat 
Osama_bin_Laden.img.bat

Deshabilita el ratón y el teclado, y borra los siguientes archivos:

C:\Programme\norton~1\s32integ.dll 
C:\Programme\f-prot95\fpwm32.dll 
C:\Programme\mcafee\scan.dat 
C:\tbavw95\tbscan.sig 
C:\Programme\tbav\tbav.dat 
C:\tbav\tbav.dat 
C:\Programme\avpersonal\antivir.vdf 
C:\Windows\rundll32.exe 
C:\Windows\rundll.exe 
C:\t_online\online.exe 
C:\Program Files\Accessories\MSPaint.exe 
C:\Windows\Notepad.Exe 
C:\Program Files\Outlook Express\WAB.exe 
C:\Windows\command.com 
C:\Windows\win.com 
C:\Windows\Options\CABS\Regedit.exe 
C:\Windows\Regedit\Regedit.exe 
C:\Program Files\America Online 7.0\aol.exe 
C:\Windows\Iexplore 
C:\Program Files\Yahoo!\Messenger\YPager.exe 
C:\Program Files\Messenger\msmsgs.exe 
C:\Program Files\AIM95\aim.exe

También borra los siguientes directorios con todo su contenido:

C:\Windows\desktop 
C:\Windows\sendto 
C:\Programme 
C:\Programs 
C:\Windows\System 
C:\Windows\Command

Y finalmente muestra este mensaje:

*Thanx for using a product of Dolomite Productions!
*
*Your computer is the bowl of sausage gravy 
and my virus is the spoon!*
*You have seen the darker side of the rRlf,
Dolomite*

Luego retorna al menú principal (note que el sistema estará inestable, y además posiblemente no funcionará ni el teclado ni el ratón).

Si el usuario selecciona la opción 3 (Hack AOL Screen Name), el troyano muestra el siguiente mensaje:

YOU HAVE PRESSED THREE,
PREPARING TO HACK AOL SCREEN NAME......

Al mismo tiempo, intenta formatear la unidad C utilizando el parámetro de formateo rápido, pero esto solo funciona si se está ejecutando el modo MS-DOS en un inicio 'Sólo símbolo del sistema' (Windows 95, 98).

Luego, borra los siguientes archivos:

C:\WINDOWS\OPTIONS\CABS\REGEDIT.EXE
C:\WINDOWS\REGEDIT\REGEDIT.EXE

Y crea una copia de si mismo en la carpeta 'C:\Windows\System32' con los siguientes nombres:

Brittany_Spears_hardcore.jpg.bat
Michael_jackson_is_a_rich_white_woman.bmp.bat
Michael_jackson_molest_little_boys(CHILDPORN).avi.bat
Eminem_fucks_brittany_spears.jpg.bat
The_real_slim_shady.mp3.bat
Brittany_spears_the_joy_of_pepsi.mp3.bat
Brittany_spears_oops_I_did_it_again.mp3.bat
GTA3_Custom_hacks(WORKS).bat
child_porn_ogry.jpg.bat
Resident_evil_Custom_hacks(WORKS).bat
childporn.mp3.bat
incest.avi.bat
mother_and_son_incest.jpg.bat
father_and_daugher_incest.bmp.bat
brother_and_sister_incest.avi.bat
Eminem_D12_full_album_fetcher.zip.bat
The_bloodhound_gang_full_album_fetcher.zip.bat
nsync_full_album_fetcher.zip.bat
98_degrees_full_album_fetcher.zip.bat
Pink.scr.bat
Pink_full_album_fetcher.zip.bat
Metallica_full_album_fetcher.zip.bat
AOL_Thief.bat
AIM_Thief.bat
CUSTOM_PORNSITE_PASSWORDS(300).txt.bat
LESBIAN_ACTION.avi.bat
Hardcore_lesbian_action.jpg.bat
ACCOUNT_HACKER_2002.bat
AOL_Thief.bat
AIM_Thief.bat
Account_hacking_utility.bat
account_hacker.avi.bat
MSN_YAHOO_AND_AOL_ACCOUNT_HACKER(WORKS!).bat
ULTIMATE_ACCOUNT_HACKER_2002.bat

Luego de ello, retorna al menú anterior (aunque es posible que Windows deje de funcionar luego de ello).

El código del gusano contiene el siguiente texto:

This is my first work, Its just awesome I have actually written this. I never thought I would see the day I would release my own malicious program like so many others. My first infection was loveletter, god bless you spyder for creating a virus that traveled so far! I had a hell of a time with it when I was a n00bie, but you proved to the world that such viruses can be created. I-worm.binladen is another one of my favorites, but thats another story! I also thank philet0ast3r for letting me into his rRlf. That was nice of you homie! Keep up the great work makin those new viruses. My greets also go out to Mr.Akuji wherever the hell you are right now. I don't know exactly what happened to you, but thanx for showing me shit on the internet I never dreamt existed! You helped build up the name Dolomite on the BBS's. Too bad they all suck now and I don't visit them anymore! I also send greets out to Traekwon, Mikey D, Bling, and GOD who makes everything possible - keep it real. If you don't know who Dolomite is by now you probably never will! Well Farewell all vxers, hackers, and lamers. Dolomite has spoken.


Limpieza manual

Debido a las características destructivas del troyano, luego de su acción se deberá reinstalar el sistema operativo y todos los programas, siendo imposible una reparación manual de los daños causados por el mismo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet (por ejemplo desde la red KaZaa), o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS