Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Portacopo:br. Troyano sumamente destructivo
 
VSantivirus No. 771 - Año 6 - Domingo 18 de agosto de 2002

Troj/Portacopo:br. Troyano sumamente destructivo
http://www.vsantivirus.com/portacopo.htm

Nombre: Troj/Portacopo:br
Tipo: Caballo de Troya
Alias: Trojan.Portacopo:br
Fecha: 8/ago/02
Tamaño: 475,648 bytes
Plataforma: Windows 95 y 98

Este troyano, aparentemente creado en Brasil, ha sido reportado en diversas redes compartidas de archivos entre usuarios (Peer-to-peer) tales como KaZaa, Morpheus, etc., en un archivo de nombre PORTACOPOS.EXE, y contiene una rutina altamente destructiva que solo afecta a usuarios con Windows en portugués.

El nombre (portavasos en español), hace referencia a una popular broma sobre el uso como portavaso de la bandeja de la lectora de CD, y apela a esto para engañar al usuario y obligarlo a su ejecución.

Está escrito en Delphi, y se presenta con un icono similar al usado por las aplicaciones creadas con Shockwave.

Cuando el troyano se ejecuta por primera vez, se presenta una ventana de diálogo con el siguiente mensaje:

Multifuncional
Voce acaba de descobrir mais um
       excelente recurso de seu
             microcomputador!
    [                Utilizar              ]

Al pinchar en el botón [Utilizar], la bandeja de la lectora de CD se abre, y al mismo tiempo se muestra este otro mensaje:

Porta Copos
Un excelente e util PORTA COPOS!
                   [     OK    ]

Al pinchar en el botón [OK] aparece este nuevo mensaje:

Multifuncional
Voce acaba de descobrir mais um
        excelente recurso de seu
             microcomputador!
    [                Fechar                 ]

Al pinchar en [Fechar] se cierra la bandeja.

Mientras estos mensajes son mostrados, el troyano se copia a si mismo como WSYS.EXE en la carpeta Windows:

C:\Windows\WSys.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

Luego modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema infectado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
BOOT Verify = C:\Windows\WSys.exe /plus

También se crea esta entrada:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
CountStart = 1

El contador aumentará de 1 en 1 en cada ejecución del troyano en la computadora infectada.

En sistemas en portugués, se sobrescriben todos los archivos no abiertos por el sistema en todas las carpetas y subcarpetas de las unidades de disco locales y las compartidas en red. Los archivos sobrescritos quedan todos con un tamaño de 1 byte de longitud.

Note que se trata de un programa maligno, no es un virus ni un gusano, que pueda propagarse por si solo, aún cuando haya sido visto en el intercambio de archivos a través de utilidades como KaZaa. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, en este caso, simulando mostrar una 'original' manera de convertir nuestra lectora de CD en un 'práctico' portavasos.


Reparación manual

Si se ha ejecutado la rutina destructiva del troyano, no hay forma de reparar los archivos sobrescritos, debiéndose reinstalar Windows y todos los programas.

En caso contrario, para reparar manualmente la infección provocada por este troyano, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Boot Verify

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS