Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Troj/HideDoc. Sobrescribe todos los archivos
 
VSantivirus No. 977 - Año 7 - Martes 11 de marzo de 2003

Troj/HideDoc. Sobrescribe todos los archivos
http://www.vsantivirus.com/hidedoc.htm

Nombre: Troj/HideDoc
Tipo: Caballo de Troya
Alias: Win32.HideDoc, Win32/HideDoc.Trojan
Fecha: 10/mar/03
Plataforma: Windows 32-bit


HideDoc es un troyano con características destructivas. No se propaga por si solo (como un gusano). El troyano suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.

Cuando es ejecutado por el usuario en forma directa, el troyano se copia a si mismo en el directorio de Windows y se modifica el registro para autoejecutarse en los siguientes reinicios de Windows.

El troyano puede tener cualquier nombre, y la clave del registro corresponde a ese nombre, sin extensión.

Por ejemplo, si el troyano llega con el nombre de JUEGO.EXE, se copiará en la carpeta de Windows con ese nombre, y luego se modificará la clave en el registro del siguiente modo:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Juego = C:\Windows\Juego.exe

El troyano crea también dos archivos de datos: STDOLE.DLL y STPRINT.OCL, los que copia en la carpeta Windows. STDOLE.DLL mantiene el camino al archivo de Windows, Winword.exe, mientras que STPRINT.OCL es un contador. Este contador aumenta cada 5 minutos, cuando la hora actual tiene '0' o '5' como último dígito (12.10, 12.15, 12.20, etc.).

Cada vez que el contador aumenta (o sea cada 5 minutos, el troyano busca un disquete en la unidad A: y dentro de éste, archivos con extensión .DOC. Si los encuentra, el troyano hace una copia de si mismo con el nombre del documento, pero con extensión .EXE. El archivo .DOC original es marcado con los atributos de oculto (+H)

Por ejemplo, si existe un documento CARTA.DOC, el troyano le cambia los atributos y luego se copia a si mismo con el nombre de CARTA.EXE.

En la copia se mantiene el icono de un documento, por lo que el usuario fácilmente puede hacer doble clic sobre él pensando que realmente es un .DOC, cuando en realidad estaría activando al troyano.

Es importante mostrar las extensiones verdaderas de los archivos para no caer en esa trampa.

Cuando el contador llega a 276, el troyano procede a sobrescribir todos los archivos del sistema con el siguiente contenido (solo texto):

"Virus LourdesHRA atacó esta computadora, Feliz 2003
y Disculpen las molestias que este ocaciona"
"Maldito Xp pero me vengaré, desastre al 100% menos Xp"

El ejecutable del troyano contiene la siguiente descripción, que no es mostrada en condiciones normales:

Es para felicitar a todos los infectados aunque no creo
que les guste. LHRA corporation se deslinda del mal uso
que se le de a este programa y lo que pueda hacer, no se
hace responsable de este, ni por los deztrozos ca.

Copiright 2003 felitz Año Nwebo k' Prodrama tien portento
Metzikno putos, ah y tambien feliz navidad


Reparación manual

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS