Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: IRC-Worm.Tetris. Detrás del juego, acecha un virus
 
VSantivirus No. 141 - Año 4 - Domingo 26 de noviembre de 2000

Nombre: IRC-Worm.Tetris
Tipo: Gusano de IRC
Tamaño: 70 Kb

Se trata de un gusano de IRC que se propaga a través de los canales de chat. El gusano en si, es una aplicación Win32, de unos 70 Kb de longitud, llamado TETRIS.EXE.

Contiene dos rutinas principales. Una es la de la infección, la otra un juego. Ambas se activan al ejecutar este archivo.

La rutina de infección, se encarga de propagar una copia del propio virus en los canales de chat. La segunda es el clásico juego del Tetris (el antiguo juego de las fichas cayendo), completamente operativo.

Cuando ejecutamos el juego, también se ejecuta el virus, y éste busca inmediatamente al cliente de chat mIRC, en estas cuatro ubicaciones:

C:\Mirc
D:\Program Files\mirc
D:\mirc
D:\Program Files\mirc

Si al menos una de ellas es encontrada, el gusano crea estos archivos adicionales:

C:\Windows\script.bak
(un SCRIPT modificado del mIRC)

C:\backup.vbs
(programa en Visual Basic Script usado para la instalación)

C:\Windows\system.exe
(copia del propio gusano)

Luego de ello, el registro es modificado para hacer que el archivo "C:\backup.vbs" se ejecute en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SysFile = C:\Backup.vbs

Cada vez que se reinicia el sistema, BACKUP.VBS se ejecuta, y copia los siguientes archivos:

C:\Windows\script.bak al directorio del mIRC con el nombre de "script.ini"

C:\Windows\system.exe a C:\tetris.exe

El SCRIPT.INI, contiene las instrucciones para que el mIRC pueda enviar una copia del archivo C:\TETRIS.EXE a cualquier otro usuario conectado al mismo canal de chat.

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Fuente: Kaspersky Antivirus

 

Copyright 1996-2000 Video Soft BBS