Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Troj.Fenc.A. Archivo adjunto: NTFS.exe
 
VSantivirus No. 780 - Año 6 - Martes 27 de agosto de 2002

 W32/Troj.Fenc.A. Archivo adjunto: NTFS.exe
http://www.vsantivirus.com/fenc.htm

Nombre: W32/Troj.Fenc.A
Tipo: Caballo de Troya y gusano de Internet
Alias: BackDoor.Fenc, Tojan.Fenc, Trojan.Win32.Filecoder, Troj/Fenc
Fecha: 30/jul/02
Plataforma: Windows 32-bits
Tamaño: 140 Kb (330 Kb)

Compactado con la utilidad UPX, este troyano escrito en Delphi, se propaga en un mensaje que simula ser una demo de un programa de correo electrónico, con el adjunto NTFS.exe.

Si el usuario ejecuta el adjunto, el troyano despliega un mensaje donde se le pide al usuario visitar el sitio http://superstory.s5.com para obtener más información.

Antes de ello, el troyano realiza una encriptación y renombre de los archivos del disco duro. Luego muestra el mensaje donde se pide visitar el sitio antes mencionado para obtener instrucciones adicionales a fin de recuperar los archivos dañados. Estas instrucciones son para obtener un programa que reparará los archivos modificados, a cambio de transferir cierta cantidad de dinero a una de varias cuentas bancarias, lo que se trata de un simple chantaje.

El troyano escanea todos los directorios en orden alfabético del disco duro (menos la carpeta Windows), y realiza destructivos cambios en cada archivo encontrado. También reemplaza el nombre del archivo, agregando el prefijo EXEADDED al principio de los archivos ejecutables, y FILEISENCODED al principio de los archivos de datos (documentos de Word documents, archivos HTML y de texto, etc.).

Cuando un archivo ejecutable es encontrado, el troyano lo reemplaza por su propio código con el nombre original.

Además del cambio de nombres, los contenidos también son modificados. El mayor daño es hecho a los documentos de Word, los que quedan ilegibles, imágenes que no pueden ser abiertas, etc. Otros archivos quedan incambiados y el troyano solo agrega basura al principio de los mismos.

El troyano también crea una copia de si mismo en Windows\System, con el nombre de NTFS.exe.

Además crea 50 archivos diferentes con nombres corruptos en el directorio C:\Archivos de programa\Archivos comunes.

Estos archivos contienen un texto en ruso.

El troyano modifica la siguiente clave del registro para autoejecutarse en cada reinicio de Windows:

HKLM\software\microsoft\windows\currentversion\run\
FsystemTracer = C:\Windows\System\NTFS.exe

Cuando su actividad destructiva es ejecutada, el troyano también crea un archivo README.TXT en el escritorio con un texto en ruso.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

Note que si se produce la rutina destructiva, algunos archivos no serán recuperables, debiéndose reinstalar desde respaldos anteriores, o desde una nueva instalación.

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

FsystemTracer

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS