Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS.Trojan.Noob. Troyano en ActiveX que utiliza el mIRC
 
VSantivirus No. 240 - Año 5 - Lunes 5 de marzo de 2001

Nombre: VBS.Trojan.Noob
Tipo: Caballo de Troya en ActiveX
Fecha: 16/feb/01
Tamaño: 10 a 11 Kb aprox.
Activo: Si

Este troyano, modifica la configuración del programa de chat mIRC, de modo que cuando el usuario infectado ingresa a un canal, el servidor del troyano se ejecuta. Este servidor permite el acceso no autorizado a los archivos de la computadora de la víctima.

El servidor suele estar presente en un archivo HTML con este nombre:

Animcard.htm

Existen al menos 3 versiones de este troyano. Básicamente, es un código ActiveX embebido en una página HTML, capaz de funcionar en Internet Explorer 4.0, 5.0 y algunas versiones del 5.5.

Si abrimos con el Explorer la página infectada (doble clic sobre el archivo .HTM), será mostrado un mensaje como este:

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[   Si   ] [   No   ]

Si el usuario presiona [SI] se producirá la infección. De lo contrario el troyano terminará su ejecución sin infectar el sistema.

Una de las versiones del troyano, posee un Wizard para crear el archivo HTML. Este asistente permite que un segundo archivo (como otro troyano o un virus), pueda ser incluido en la misma página.

Las acciones del troyano son:

  • Subir o descargar archivos de y hacia la computadora infectada
  • Captura de todo lo tecleado en el mIRC
  • Renombrar al propio mIRC
  • Comunicarse a través del mIRC vía remota

Para eliminarlo, ejecute un antivirus al día, y borre los archivos .HTM infectados.

Verifique que el archivo .INI en la carpeta del mIRC (generalmente C:\Mirc), no contenga líneas relacionadas con el troyano, o borre y reinstale el mIRC.

Busque y borre cualquier archivo NOOBINI.INI en el sistema.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado en forma premeditada.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Consejos generales

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Fuente: Symantec, Dark Eclipse Software

 

Copyright 1996-2001 Video Soft BBS