Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Ortyc. Abre ventanas pop-up de sitios pornográficos
 
VSantivirus No. 841 - Año 6 - Sábado 26 de octubre de 2002

Troj/Ortyc. Abre ventanas pop-up de sitios pornográficos
http://www.vsantivirus.com/ortyc.htm

Nombre: Troj/Ortyc
Tipo: Caballo de Troya
Alias: Ortyc.Trojan, Cytron
Fecha: 24/oct/02
Tamaño: 122,880 bytes
Plataforma: Windows 32-bits

Se trata de un troyano que al ejecutarse, despliega ventanas (pop-ups) hacia sitios pornográficos. Esto ocurre mientras el usuario usa el Internet Explorer para navegar, en prácticamente cualquier sito que visite. El "disparador" son una serie de palabras claves encontradas en el sitio visitado, las cuáles son comparadas con una lista propia, incorporada al código del troyano.

El troyano puede llegar a nuestro PC en un mensaje electrónico que nos anuncia una tarjeta electrónica de salutación que alguien nos ha enviado.

Si usted hace clic sobre el enlace al sitio de la tarjeta, se abre la siguiente página Web:

http:/ /www.surprisecards.net/viewcard.htm

La página muestra el siguiente texto:

YOU HAVE RECEIVED AN E-CARD CLICK HERE TO OPEN. E-CARD VIEWER PLUG-IN MAY BE REQUIRED TO VIEW SOME E-CARDS

Cuando se hace clic en el enlace "Click here to open", aparece una ventana de diálogo, con el siguiente texto:

Security Warning

Do you want to install and run "e-Card viewer plugin for
Internet Explorer" signed on 9/30/2002 7:57 PM and
distributed by:

Cytron Communications Ltd

Publisher authenticity verified by Thawte Server CA

Caution: Cytron Communications Ltd asserts that this
content is safe. You should only install/view this
content if you trust Permissioned Media Inc. to make
that assertion.

[  ] Always trust content from Cytron Communications Ltd

[   Yes   ] [   No   ] [  More Info  ]

Si se acepta la descarga y ejecución del supuesto plugin para visualizar la tarjeta de saludo, se descargará un archivo llamado "E-card.cab". Este archivo contiene e instala "Sec.dll", un objeto del tipo BHO (browser helper object). Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados. Esta característica es la que el troyano utiliza para su acción.

"Sec.dll" puede llamarse también "Potd.dll", y su nombre interno es "Burnaby.dll".

El BHO es registrado en la siguiente rama del registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\explorer\Browser Helper Objects

También se crean las siguientes entradas en el registro:

HKEY_LOCAL_MACHINE\Software\POTD 

HKEY_CURRENT_USER\Software\POTD 

HKEY_LOCAL_MACHINE\Software\Classes
\3750BFA3-1392-4AF3-AF86-9D2D4776E5A4

Cuando Internet Explorer es ejecutado por primera vez luego de la instalación de "Sec.dll", intentará conectarse a dos sitios Web para descargar un archivo llamado "Trop.xml".

"Trop.xml" contiene una lista de direcciones de Internet que despliegan ventanas del tipo pop-up (el tipo de ventanas que se abren sin nuestro consentimiento al visitar algunos sitios). También se descarga una lista de palabras a buscar. Si cualquier sitio visitado contiene una de esas palabras, entonces se despliega una ventana pop-up.

Note que esto ocurrirá aún con páginas que normalmente jamás nos muestran estas ventanas. Si está visitando un sitio "limpio" y de pronto le aparece otra ventana apuntando a un lugar porno, no le eche la culpa al sitio original, sin antes comprobar si su PC no está infectado por este troyano.

Cómo curiosidad, un BHO también podría ser usado para lo contrario, es decir para "matar" ventanas pop-up.


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecútelos en modo escaneo, revisando todos sus discos duros


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\POTD

3. Pinche en la carpeta "POTD" y bórrela.

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\3750BFA3-1392-4AF3-AF86-9D2D4776E5A4

5. Pinche en la carpeta "3750BFA3-1392-4AF3-AF86-9D2D4776E5A4" y bórrela.

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\POTD

7. Pinche en la carpeta "POTD" y bórrela.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Uso de Proxomitron para protegernos de HTMLs maliciosos

Para disminuir el riesgo de infección y evitar daños provocados por el uso malintencionado de código malicioso embebido en páginas WEB por el simple hecho de visualizarlas, recomendamos la instalación de la utilidad Proxomitron.

Para instalar y configurar esta utilidad, así como para obtener más información sobre la misma, siga este enlace:

VSantivirus No. 646 - 14/abr/02
Proxomitron. Una protección imprescindible para navegar
http://www.vsantivirus.com/proxomitron.htm

Proxomitron evitará también la aparición de ventanas pop-up


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS