VSantivirus No. 666 - Año 6 - Sábado 4 de mayo de 2002
Troj/Prova. Se presenta como un archivo Macromedia Flash
http://www.vsantivirus.com/prova.htm
Nombre: Troj/Prova
Tipo: Caballo de Troya
Alias: Trojan.Prova
Fecha: 1/may/02
Plataformas: Windows 9x, Me, NT, 2000 y XP
Este troyano se caracteriza por generar gran cantidad de nuevos archivos en la computadora infectada, todos ellos con iconos (falsos) del Explorador de Windows o Macromedia Flash.
También modifica el registro, vuelve inestable a Windows y apaga el sistema. Elimina la opción Ejecutar del menú Inicio (Inicio, Ejecutar) y deshabilita la posibilidad de editar el registro.
Aunque puede funcionar bajo Windows NT, 2000 y XP, no lo hace correctamente y falla, bloqueando el sistema operativo.
El archivo principal con el que se presenta el troyano, es un ejecutable que contiene todos los demás componentes. Aparece como un ejecutable con el icono de Macromedia Flash, con un tamaño de 1 Mb, simulando ser una película.
Cuando este archivo es ejecutado, se copian al disco todos los demás componentes, descriptos a continuación:
Es el archivo principal de 1 Mb con el que se presenta el troyano, y del que hablábamos antes. El nombre es generado al azar, por lo que puede presentarnos cualquiera.
Tamaño: 1,001,081 bytes
Icono: Macromedia Flash
Genera los siguientes archivos al ejecutarse:
Prova.exe
Quiz.exe
Pl.dll
El último es una librería que no contiene código maligno, usada por el troyano. El troyano, luego de generar los archivos mencionados, ejecuta al archivo PROVA.EXE.
Tamaño: 383,231 bytes
Icono: Macromedia Flash
No crea ningún archivo extra, pero ejecuta el archivo QUIZ.EXE creado antes por el archivo principal del troyano.
Luego, despliega un mensaje (en italiano), utilizando una animación realizada en Flash, y crea y ejecuta finalmente un archivo llamado SISTRAI.EXE
Tamaño: 690,688 bytes
Icono: Macromedia Flash
Cuando se ejecuta, crea los siguientes archivos:
C:\Windows\System\Explorer.exe
C:\Windows\Command\Sistray.exe
C:\Windows\Command\Sistrai.exe
El archivo SISTRAI.EXE creado por el troyano, no contiene ninguna infección.
Quiz.exe también renombra el archivo MSCONFIG.EXE (C:\Windows\System\Msconfig.exe) como SYSTEM12.SYS
(C:\Windows\System\System12.sys)
Msconfig es un archivo legítimo de Windows, pero que solo existe en Windows 98 y
Me
Este archivo también es creado por el programa principal del troyano, y no presenta ninguna infección ni código maligno.
Tamaño: 17,920 bytes
Icono: Archivo DLL de Windows
Esta librería es usada por el troyano para engancharse a las funciones del sistema y controlarlo.
Creado por QUIZ.EXE.
Tamaño: 403,025 bytes
Icono: Windows Explorer
Este falso Explorer, crea estos archivos:
1.exe
Sistrai.exe
El segundo no tiene código maligno. Luego de esto, EXPLORER.EXE ejecuta al archivo 1.EXE.
Este archivo es creado por QUIZ.EXE.
Tamaño: 336,827 bytes
Icono: Macromedia Flash
SISTRAI.EXE crea los siguientes archivos:
Zebedeo.exe
Autoexe.exe
Finalmente ejecuta el archivo ZEBEDEO.EXE
SISTRAI.EXE no crea ningún archivo. Es un pequeño programa que apaga el sistema (shut down), pero no contiene código viral.
Es creado por SISTRAI.EXE
Tamaño: 378,582 bytes
Icono: Macromedia Flash
No crea ningún archivo extra. Ejecuta a los archivos AUTOEXE.EXE y SISTRAI.EXE, con lo cual apaga al sistema.
También creado por SISTRAI.EXE
Tamaño: 31,744 bytes
Icono: Macromedia Flash
Crea un archivo AUTOEXE.BAT (no confundir con AutoexeC.bat).
AUTOEXE.EXE ejecuta y luego borra a AUTOEXE.BAT
El troyano hace una copia respaldo del AUTOEXEC.BAT original con el nombre de AUTOEXEC.BAC, y luego crea su propio AUTOEXEC.BAT
Cuando el sistema se reinicia, el infectado AUTOEXEC.BAT renombra
C:\Windows\Explorer.exe como C:\Windows\Command.exe (EXPLORER.EXE es el Explorador de Windows original, que ahora se llamará COMMAND.EXE).
Luego, el troyano mueve y copia el archivo troyanizado C:\Windows\System\Explorer.exe (creado por el propio troyano) como
C:\Windows\Explorer.exe
El troyano también modifica el registro agregando los siguientes valores a las claves "Run" y "RunOnce", que le permite ejecutar SISTRAI.EXE en cada reinicio del sistema.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sistray = c:\windows\command\sistray.exe
sistrai.exe = c:\windows\command\sistrai.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
sistray = c:\windows\command\sistray.exe
sistrai.exe = c:\windows\command\sistrai.exe
Bajo Windows 95, 98 y Me, el troyano deshabilita el editor del registro (Regedit.exe), y quita la opción Ejecutar del menú Inicio.
Para impedir que REGEDIT.EXE se ejecute, el troyano agrega la entrada "DisableRegistryTools" del registro
diferente a cero:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 1
Para remover la opción EJECUTAR del menú de Inicio, el troyano
agrega el siguiente valor en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Norun = 1
Estas modificaciones no ocurren si se está trabajando bajo Windows NT, 2000 o XP.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros (no reinicie para evitar que el troyano se autoecute).
3. Si el archivo AUTOEXEC.BAT aparece como infectado, bórrelo y luego busque y renombre
C:\Autoexec.bac como C:\Autoexec.bat.
4. Utilice la búsqueda de Windows para buscar y borrar todas las apariciones del archivo
SISTRAI.EXE (de unos 30,208 bytes).
SISTRAI.EXE no es un código viral, sino una puequeña utilidad para apagar Windows, por lo que no es detectada como dañina por casi ningún antivirus. Pero es conveniente borrarla para evitar la acción del troyano.
5. Busque y elimine los siguientes archivos:
Autoexe.bat (no confundir con autoexeC.bat)
Pl.dll
Sistray.reg
Sistray.bat
6. Bajo Windows 98 o Me, con el Explorador de Windows renombre el archivo
C:\Windows\System\System12.sys como C:\Windows\System\Msconfig.exe.
Para editar el registro (si NO ESTA ejecutando Windows 9x o Me), siga estos pasos:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
2. Busque la siguiente rama del registro:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha borre los siguientes valores:
sistray
sistrai.exe
4. En el panel de la izquierda, busque la siguiente rama del registro:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Pinche en la carpeta "RunOnce" y en el panel de la derecha borre los siguientes valores:
sistray
sistrai.exe
6. Pinche en el menú "Registro", "Salir".
Si ESTA EJECUTANDO Windows 9x o Me, siga estos pasos para editar el registro:
1. Pinche Inicio, Programas, Accesorios, Bloc de notas.
2. Copie el siguiente texto y péguelo en la ventana del bloc de notas:
;---cortar---
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=dword:00000000
;---cortar---
3. Pinche en Archivo, Guardar y grábelo como FIX.REG en el escritorio.
4. Salga del bloc de notas, y haga doble clic sobre el archivo
FIX.REG en el escritorio.
5. Conteste que SI a todas las preguntas y luego a ACEPTAR.
6. Reinicie la computadora y siga los pasos siguientes (si está bajo Windows 9x y Me).
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
2. Busque la siguiente rama del registro:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha borre los siguientes valores:
sistray
sistrai.exe
4. En el panel de la izquierda, busque la siguiente rama del registro:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Pinche en la carpeta "RunOnce" y en el panel de la derecha borre los siguientes valores:
sistray
sistrai.exe
6. Pinche en el menú "Registro", "Salir".
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Notas
Note que se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.
Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
