VSantivirus No. 758 - Año 6 - Lunes 5 de agosto de 2002
BAT/Etimolod.A. Destructivo gusano y troyano .BAT
http://www.vsantivirus.com/etimolod-a.htm
Nombre: BAT/Etimolod.A
Tipo: Gusano de Internet y troyano .BAT (MS-DOS Batch)
Alias: BAT_ETIMOLOD.A, Dolomite
Fecha: 3/ago/02
Plataforma: Windows/DOS
Tamaño: 13,740 bytes
Este destructivo gusano y troyano, puede propagarse a través de la red de archivos compartidos entre usuarios Peer-To-Peer,
KaZaa. Cuando se ejecuta crea varias copias de si mismo en las siguientes ubicaciones:
C:\
C:\Windows\System
C:\Windows\System32
C:\Windows\Start Menu
Esta última no existe en Windows en español. Por otra parte, el gusano es muy destructivo en plataformas
Windows 95, 98, Me y XP, que usan la ubicación por defecto de Windows
(C:\Windows).
También crea la siguiente entrada en el registro, para compartir el contenido de la carpeta
'C:\WINDOWS\System32' entre los usuarios de KaZaa:
HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir1" = "C:\WINDOWS\System32"
Al ejecutarse, el troyano, que simula ser una utilidad para hackear conocidos sitios, muestra una ventana (MS-DOS) con las siguientes opciones:
Copyright Dolomite Productions 2002
Please accept and add DOLOMITE.REG to Registry or Device will not work correctly.
Advanced Dolomite Account Hacking Device 2002,
pick number as follows.
<1> = Hack Hotmail Screen Name
<2> = Hack Yahoo Screen Name
<3> = Hack AOL Screen Name
Pick a number <1, 2, 3>
Si la opción seleccionada es la 1 (Hack Hotmail Screen
Name), se muestra este mensaje:
YOU HAVE PRESSED ONE,
PREPARING TO HACK HOTMAIL SCREEN NAME......
Se copia a si mismo en 'C:\Windows\System32' con estos nombres (estos archivos estarán disponibles para otros usuarios de KaZaa, sin embargo, debido a las características destructivas del gusano, posiblemente no lleguen a estarlo
en la práctica luego de la primera ejecución):
Brittany_Spears_hardcore.jpg.bat
Michael_jackson_is_a_rich_white_woman.bmp.bat
Michael_jackson_molest_little_boys(CHILDPORN).avi.bat
Eminem_fucks_brittany_spears.jpg.bat
The_real_slim_shady.mp3.bat
Brittany_spears_the_joy_of_pepsi.mp3.bat
Brittany_spears_oops_I_did_it_again.mp3.bat
GTA3_Custom_hacks(WORKS).bat
child_porn_ogry.jpg.bat
Resident_evil_Custom_hacks(WORKS).bat
childporn.mp3.bat
incest.avi.bat
mother_and_son_incest.jpg.bat
father_and_daugher_incest.bmp.bat
brother_and_sister_incest.avi.bat
Eminem_D12_full_album_fetcher.zip.bat
The_bloodhound_gang_full_album_fetcher.zip.bat
nsync_full_album_fetcher.zip.bat
98_degrees_full_album_fetcher.zip.bat
Pink.scr.bat
Pink_full_album_fetcher.zip.bat
Metallica_full_album_fetcher.zip.bat
AOL_Thief.bat
AIM_Thief.bat
CUSTOM_PORNSITE_PASSWORDS(300).txt.bat
LESBIAN_ACTION.avi.bat
Hardcore_lesbian_action.jpg.bat
ACCOUNT_HACKER_2002.bat
AOL_Thief.bat
AIM_Thief.bat
Account_hacking_utility.bat
account_hacker.avi.bat
MSN_YAHOO_AND_AOL_ACCOUNT_HACKER(WORKS!).bat
ULTIMATE_ACCOUNT_HACKER_2002.bat
goatse.avi.bat
Michael_jackson_secret_child_sex_film!!!.avi.bat
Michael_jackson_molest_5_children!!!!.avi.bat
Penny_Bain_skull_fucks_your_mum.avi.bat
Penny_Bain_eats_a_sausage.avi.bat
childporn.avi.bat
the_new_kid.avi.bat
john_steele_is_incest_lover!!.avi.bat
john_steele_is_cousin_fucker.avi.bat
También crea los siguientes archivos en el directorio raíz de la unidad C:
dolomite.bat
dolomite_account_hacking_utility.bat
lesbian_porn_passwords.txt.bat
tyflas_passwords.txt.bat
papaka_passwords.txt.bat
child_porn_lovers.avi.bat
lesbian_foot_fetish_orgy.jpg.bat
fm_concepts_passwords.txt.bat
free_hentai_passwords.txt.bat
lesbian_anal_reaming.jpg.bat
BDSM.avi.bat
necrophilia.mpeg.bat
necro_child_sex.gif.bat
Genera los siguientes archivos en el directorio
'C:\Windows\Start menu' (no existe en Windows en español):
childporn.bat
incest.bat
cousin_fucker.bat
charlie!!!!.bat
John_Steele_is_cousin_fucker.bat
child_porn_orgy.avi.bat
lesbian_orgy.jpg.bat
childsex.gif.bat
childfuck.bmp.bat
sadomasochistic_anal_loving_necrophiliacs.bmp.bat
También crea los siguientes archivos en 'C:\Windows\System':
kiddie_porn.jpg.bat
tyflas_movie_full_length_version.avi.bat
sweatsweet_dot_com_free_passwords.bat
newgrounds_mr_akuji.jpg.bat
free_porn_passwords.txt.bat
free_porn_passwords.doc.bat
100_hour_full_length_feature_childporn_film.mpg.bat
sadomasochistic_anal_loving_necrophiliacs.jpg.bat
goatse_jr.avi.bat
sadomasochistic_anal_loving_transvestites.avi.bat
goatse_jr.avi.bat
the_3_old_men_orgy_from_stileproject.avi.bat
sadomasochistic_homosexual_hermaphrodites.avi.bat
Borra los siguientes archivos:
C:\Windows\Options\Cabs\Regedit.exe
C:\Windows\Regedit\Regedit.exe
C:\Autoexec.bat
C:\Windows\System.ini
C:\Windows\Win.ini
C:\Windows\System\Setpower.exe
Y también los siguientes directorios y su contenido:
C:\Windows\desktop
C:\MYDOCU~1
Renombra la carpeta 'C:\Windows' como
'C:\DOLOMITE' y vuelve al menú inicial (note que el sistema estará inestable y posiblemente deje de funcionar).
Si la opción seleccionada es la 2 (Hack Yahoo Screen
Name), el gusano muestra el siguiente mensaje:
YOU HAVE PRESSED TWO,
PREPARING TO HACK YAHOO SCREEN NAME......
Luego, se copia en la carpeta 'C:\Windows\System32' con estos nombres:
Brittany_Spears_hardcore.jpg.bat
Michael_jackson_is_a_rich_white_woman.bmp.bat
Michael_jackson_molest_little_boys(CHILDPORN).
Eminem_fucks_brittany_spears.jpg.bat
The_real_slim_shady.mp3.bat
Brittany_spears_the_joy_of_pepsi.mp3.bat
Brittany_spears_oops_I_did_it_again.mp3.bat
GTA3_Custom_hacks(WORKS).bat
child_porn_ogry.jpg.bat
Resident_evil_Custom_hacks(WORKS).bat
childporn.mp3.bat
incest.avi.bat
mother_and_son_incest.jpg.bat
father_and_daugher_incest.bmp.bat
brother_and_sister_incest.avi.bat
Eminem_D12_full_album_fetcher.zip.bat
The_bloodhound_gang_full_album_fetcher.zip.bat
nsync_full_album_fetcher.zip.bat
98_degrees_full_album_fetcher.zip.bat
Pink.scr.bat
Pink_full_album_fetcher.zip.bat
Metallica_full_album_fetcher.zip.bat
AOL_Thief.bat
AIM_Thief.bat
CUSTOM_PORNSITE_PASSWORDS(300).txt.bat
LESBIAN_ACTION.avi.bat
Hardcore_lesbian_action.jpg.bat
ACCOUNT_HACKER_2002.bat
AOL_Thief.bat
AIM_Thief.bat
Account_hacking_utility.bat
account_hacker.avi.bat
MSN_YAHOO_AND_AOL_ACCOUNT_HACKER(WORKS!).bat
ULTIMATE_ACCOUNT_HACKER_2002.bat
Copia los siguientes archivos en el raíz de C:
dolomite.bat
dolomite_account_hacking_utility.bat
dolomite_1337.bat
dolomite_is_everywhere.bat
dolomite_cannot_lose.bat
dolomite_is_1337.bat
dolomite_ownz_you.gif.bat
dolomite_rulez.jpg.bat
dolomite_RULES!!!.avi.bat
dolomite_is_grrrrrrrrrrreat!.bat
dolomite_is_GRRRRRRRRRRRRREEEEAT!.bat
Y los siguientes archivos en la carpeta 'C:\Windows\Start
menu':
Al_Qaida.bat
Hamas.bat
Yassir_Arafat.bat
Ussamah_bin_Laden.bat
Gadaffi.bat
Mullah_Muhammad_Omar.bat
Saddam_Hussein.bat
Osama_bin_Laden.bat
También copia los siguientes archivos en el directorio
'C:\Windows\System':
Penny_bain.bat
dolomite.jpg.bat
Penny_bain.jpg.bat
Penny_bain_is_in_your_brain.avi.bat
bin_Laden.bat
wheelchair_olympics.pap.bat
rRlf.jpg.bat
rRlf.gif.bat
traekwon.gif.bat
USA_is_the_great_Satan!.jpg.bat
Osama_bin_Laden.img.bat
Deshabilita el ratón y el teclado, y borra los siguientes archivos:
C:\Programme\norton~1\s32integ.dll
C:\Programme\f-prot95\fpwm32.dll
C:\Programme\mcafee\scan.dat
C:\tbavw95\tbscan.sig
C:\Programme\tbav\tbav.dat
C:\tbav\tbav.dat
C:\Programme\avpersonal\antivir.vdf
C:\Windows\rundll32.exe
C:\Windows\rundll.exe
C:\t_online\online.exe
C:\Program Files\Accessories\MSPaint.exe
C:\Windows\Notepad.Exe
C:\Program Files\Outlook Express\WAB.exe
C:\Windows\command.com
C:\Windows\win.com
C:\Windows\Options\CABS\Regedit.exe
C:\Windows\Regedit\Regedit.exe
C:\Program Files\America Online 7.0\aol.exe
C:\Windows\Iexplore
C:\Program Files\Yahoo!\Messenger\YPager.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AIM95\aim.exe
También borra los siguientes directorios con todo su contenido:
C:\Windows\desktop
C:\Windows\sendto
C:\Programme
C:\Programs
C:\Windows\System
C:\Windows\Command
Y finalmente muestra este mensaje:
*Thanx for using a product of Dolomite Productions!
*
*Your computer is the bowl of sausage gravy
and my virus is the spoon!*
*You have seen the darker side of the rRlf,
Dolomite*
Luego retorna al menú principal (note que el sistema estará inestable, y además posiblemente no funcionará ni el teclado ni el ratón).
Si el usuario selecciona la opción 3 (Hack AOL Screen
Name), el troyano muestra el siguiente mensaje:
YOU HAVE PRESSED THREE,
PREPARING TO HACK AOL SCREEN NAME......
Al mismo tiempo, intenta formatear la unidad C utilizando el parámetro de formateo rápido, pero esto solo funciona si se está ejecutando el modo MS-DOS en un inicio 'Sólo símbolo del sistema' (Windows 95, 98).
Luego, borra los siguientes archivos:
C:\WINDOWS\OPTIONS\CABS\REGEDIT.EXE
C:\WINDOWS\REGEDIT\REGEDIT.EXE
Y crea una copia de si mismo en la carpeta 'C:\Windows\System32' con los siguientes nombres:
Brittany_Spears_hardcore.jpg.bat
Michael_jackson_is_a_rich_white_woman.bmp.bat
Michael_jackson_molest_little_boys(CHILDPORN).avi.bat
Eminem_fucks_brittany_spears.jpg.bat
The_real_slim_shady.mp3.bat
Brittany_spears_the_joy_of_pepsi.mp3.bat
Brittany_spears_oops_I_did_it_again.mp3.bat
GTA3_Custom_hacks(WORKS).bat
child_porn_ogry.jpg.bat
Resident_evil_Custom_hacks(WORKS).bat
childporn.mp3.bat
incest.avi.bat
mother_and_son_incest.jpg.bat
father_and_daugher_incest.bmp.bat
brother_and_sister_incest.avi.bat
Eminem_D12_full_album_fetcher.zip.bat
The_bloodhound_gang_full_album_fetcher.zip.bat
nsync_full_album_fetcher.zip.bat
98_degrees_full_album_fetcher.zip.bat
Pink.scr.bat
Pink_full_album_fetcher.zip.bat
Metallica_full_album_fetcher.zip.bat
AOL_Thief.bat
AIM_Thief.bat
CUSTOM_PORNSITE_PASSWORDS(300).txt.bat
LESBIAN_ACTION.avi.bat
Hardcore_lesbian_action.jpg.bat
ACCOUNT_HACKER_2002.bat
AOL_Thief.bat
AIM_Thief.bat
Account_hacking_utility.bat
account_hacker.avi.bat
MSN_YAHOO_AND_AOL_ACCOUNT_HACKER(WORKS!).bat
ULTIMATE_ACCOUNT_HACKER_2002.bat
Luego de ello, retorna al menú anterior (aunque es posible que Windows deje de funcionar luego de ello).
El código del gusano contiene el siguiente texto:
This is my first work, Its just awesome I have actually written this. I never thought I would see the day I would release my own malicious program like so many others. My first infection was loveletter, god bless you spyder for creating a virus that traveled so far! I had a hell of a time with it when I was a n00bie, but you proved to the world that such viruses can be created. I-worm.binladen is another one of my favorites, but thats another story! I also thank philet0ast3r for letting me into his rRlf. That was nice of you homie! Keep up the great work makin those new viruses. My greets also go out to Mr.Akuji wherever the hell you are right now. I don't know exactly what happened to you, but thanx for showing me shit on the internet I never dreamt existed! You helped build up the name Dolomite on the BBS's. Too bad they all suck now and I don't visit them anymore! I also send greets out to Traekwon, Mikey D, Bling, and GOD who makes everything possible - keep it real. If you don't know who Dolomite is by now you probably never will! Well Farewell all vxers, hackers, and lamers. Dolomite has spoken.
Limpieza manual
Debido a las características destructivas del troyano, luego de su acción se deberá reinstalar el sistema operativo y todos los programas, siendo imposible una reparación manual de los daños causados por el mismo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet (por ejemplo desde la red KaZaa), o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
