Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/FireAnvil. Destructivo troyano en utilidad Firehand
 
VSantivirus No. 795 - Año 6 - Miércoles 11 setiembre de 2002

 Troj/FireAnvil. Destructivo troyano en utilidad Firehand
http://www.vsantivirus.com/fireanvil.htm

Nombre: Troj/FireAnvil
Tipo: Caballo de Troya
Alias: FireAnvil, Troj/czy, Troj/FireAnv-A, Trojan.Win32.FireAnvil
Fecha: 10/set/02

Este troyano ha sido detectado dentro de la utilidad "Firehand Ember Millenium", un software comercial empleado para la visualización y edición de gráficos.

Este software se vende a través de Internet, y se activa al ingresar un identificador que se le proporciona al usuario. El troyano a su vez se activa si se ingresa un determinado usuario, obtenible ilegalmente.

El troyano se encuentra al menos en dos archivos del programa:

Ember32.exe
fireutil.dll

El primero es el código principal del producto.

Cuando el software original se instala, la primera vez que se ejecuta aparece una ventana con el siguiente texto:

Registration

To register this copy of Ember in accordance with Ember´s 
Software Liocensing Agreement, you must obtain a user ID 
and registration key from Firehand Technologies. For 
information about obtaining a user ID and registration key 
from Firehand Technologies, cancel now and select "How
to Register this Software..." from Ember´s Help menu.

Registered User ID: [_____________________]
    Registration Key: [_____________________]

[    OK    ] [   Cancel   ]

El troyano se activa cuando se ingresa el siguiente nombre de usuario, obtenible a través de sitios que propagan software ilegal, en el campo "Registered User ID" (ID de usuario registrado):

czy czy

También debe ingresarse la contraseña correspondiente.

Luego de ello, si el programa se activa se muestra el siguiente mensaje:

CrAcKiNg SoFtWaRe! PIEaSe WaIt!

Después, el troyano busca el directorio System de Windows y agrega el siguiente texto en todos los archivos allí presentes:

CzY CrAcKiNg CrUe! We CrACk EvErYtHiNg!

Esto ocasiona que todos los archivos en C:\Windows\System queden destruidos, sin posibilidad de reparación ('C:\Windows\System' puede variar de acuerdo al sistema operativo instalado, con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP). Esta acción deja inestable a Windows, ocasionando su cuelgue. Además, su reinicio será imposible hasta que se restauren todos los archivos eliminados.


Reparación manual

1. Todos los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.

2 Actualice sus antivirus

3 Ejecútelos en modo escaneo, revisando todos sus discos duros

4 Borre los archivos detectados como infectados


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
13/set/02 - Alias: Troj/FireAnv-A, Trojan.Win32.FireAnvil



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS