Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/PHC2002. Ataca al antivirus ‘The Hacker’
 
VSantivirus No. 775 - Año 6 - Jueves 22 de agosto de 2002

 Troj/PHC2002. Ataca al antivirus ‘The Hacker’
http://www.vsantivirus.com/phc2002.htm

Nombre: Troj/PHC2002
Tipo: Caballo de Troya
Alias: PHC2002_TROYANO, TROJAN_PHC, PHC, PHC2002.EXE
Fecha: 22/ago/02 (actualización)
Origen: Perú
Fuente: HackSoft

Se trata de una nueva variante de un troyano que ya lleva algunos meses de circulación, escrito por un grupo de creadores de virus peruanos conocido como PHC.

El único objetivo de este troyano es atacar al antivirus 'The Hacker' de la empresa también peruana HackSoft.

Según HackSoft, cada una de las variantes tiene características específicas y están escritas igualmente para versiones específicas de su antivirus, entre sus múltiples acciones se pueden indicar las siguientes:

Modificación de los procesos del antivirus en Memoria vía API de Windows (CreateProcess, WriteProcessMemory, etc.): Hay diferentes variantes que realizan tal acción, cada versión del troyano es específica a una versión del antivirus, si el troyano se ejecuta en una versión para la cual no está programado colgará el proceso del antivirus.

Sobrescribe el Virus Scanner Engine (th32.dll): El troyano sobrescribe esta librería DLL para evitar su detección, igualmente si el troyano encuentra una DLL para el cual no está programado aparecen mensajes de error de Windows en la librería afectada..

Sobrescribe las librerías de búsqueda (th32eng.dll, th32mac.dll, etc.): Las últimas versiones del troyano atacan este archivo para evitar su detección, el troyano sobrescribe algunas áreas en la librería de búsqueda, los resultados podrían variar desde cuelgues hasta mal funcionamiento del antivirus. Al igual que en los puntos anteriores el troyano es específico a una versión.

Sobrescribe el registro de virus (thact.dat, etc.): En algunas variantes, este troyano "corta a la mitad" el archivo thact.dat tratando de evitar su detección, por ejemplo si el archivo thact.dat mide 20Kb después de ser atacado por el troyano mide 10Kb. En la siguiente ejecución del antivirus 'The Hacker' notará que el archivo de registro thact.dat está corrupto, emitirá un mensaje de error y no correrá.

El código fuente de las últimas variantes del troyano han sido difundidas en sitios Web de creación de virus por lo que su modificación es inminente, pudiéndose encontrar en el futuro variantes con nuevas características incluso más dañinas, borrado de archivos del usuario, ataque a otros antivirus o programas, etc., etc.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS