Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan.Offensive. Peligroso troyano en páginas HTML
 
VSantivirus No. 410 - Año 5 - Miércoles 22 de agosto de 2001

Nombre: Trojan.Offensive
Tipo: Caballo de Troya
Fecha: 20/ago/01

Se trata de un caballo de Troya que se vale de controles ActiveX para infectar, y que se presenta dentro de páginas en formato HTML, pudiéndose producir la infección por visitar una página Web maliciosa, o a través de un mensaje con formato HTML (ver "Advertencia: sitios hackeados que pueden dañar su PC").

Cuando la página es visualizada, aparece un botón con el texto "Start.".

Si el usuario lo activa, el troyano, aprovechándose de capacidades implementadas en ActiveX, modifica la página de inicio de su browser, y también realiza cambios en el registro para restringir severamente el acceso al sistema.

La mayoría de las veces, la acción de este troyano, solo puede repararse con la ayuda de un profesional, o reinstalando Windows.

Los sintomas de la infección pueden ser:
  1. La mayoría de las opciones en el menú Inicio de Windows, muestran el icono correspondiente a un archivo de texto.

  2. Ningún icono es visible en el escritorio de Windows.

  3. Usted no puede ejecutar ningún programa.

  4. Usted no puede cerrar Windows, ya que al intentarlo se muestra un mensaje donde se le avisa que no puede hacerlo debido a la configuración actual de los niveles de seguridad.

  5. Estos síntomas se mantienen, aún iniciando su computadora en Modo a prueba de fallos.

Cuando usted visualiza el botón mencionado al visitar una página Web, y pulsa en él, el troyano realiza las siguientes acciones:

En la siguiente clave:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Agrega los siguientes valores:

RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings

En la siguiente clave:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Agrega los siguientes valores:

DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage

En la siguiente clave:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

Agrega los siguientes valores:

NoRealMode
Disabled

En las siguientes claves:

HKCU\Software\Microsoft\InternetExplorer\Main\Window Title
HKLM\Software\Microsoft\Internet Explorer\Main\Window Title

Modifica los siguientes valores:

Window Title
Start Page

En la siguiente clave:

HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon

Modifica los siguientes valores:

LegalNoticeCaption
LegalNoticeText

En la siguiente clave:

HKLM\Software\Microsoft\Internet Explorer
\Extensions\{C18CB140-0BBB-11D4-8FE8-0088CC102438}

Modifica los siguientes valores:

ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText

Modifica las siguientes claves:

HKCU\Software\Microsoft\Internet Explorer\MenuExt\how to * japanese

HKCR\Drive\shell\how to * japan

En las siguientes claves:

HKLM\Software\CLASSES\.exe
HKLM\Software\CLASSES\.reg
HKLM\Software\CLASSES\.htm
HKLM\Software\CLASSES\.html
HKLM\Software\CLASSES\.txt
HKLM\Software\CLASSES\.inf
HKLM\Software\CLASSES\.dll
HKLM\Software\CLASSES\.ini
HKLM\Software\CLASSES\.sys
HKLM\Software\CLASSES\.com
HKLM\Software\CLASSES\.bat

Modifica el valor (predeterminado) para asociar estas extensiones a archivos de texto.

En la siguiente clave:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Modifica los siguientes valores:

internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile

En la siguiente clave:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Modifica los siguientes valores:

LoadPowerProfile
SchedulingAgent

La posibilidad de remover el troyano en forma manual, una vez que se ha ejecutado, es muy difícil, ya que usted no podrá ejecutar ningún programa desde Windows.

La única posibilidad de reparar el registro, es hacerlo desde modo MS-DOS, cosa que resultaría muy engorrosa y consumiría mucho tiempo.

Se recomienda tener disponible (y protegidos), sendos disquetes de inicio de su sistema operativo (puede crearlos desde Panel de control, Agregar o quitar programas, Disco de Inicio).

También tener a mano la última versión de un antivirus de DOS, como F-PROT, es algo a considerar.

En ese caso, puede intentar ejecutar desde MS-DOS el F-PROT desde un par de disquetes (reiniciando su PC con disquetes creados previamente y protegidos contra escritura). Esto debería eliminar el troyano.

Luego, podría intentar recuperar un archivo de registro anterior a la infección, iniciando en modo MS-DOS (solo Windows 98), y ejecutando el comando SCANREG /RESTORE

La solución más probable sin la ayuda de un experto, tal vez pase por la reinstalación total de Windows.

También puede evitarse su acción, si la seguridad del Internet Explorer es puesta en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.


Ver también:

22/ago/01 - Advertencia: sitios hackeados que pueden dañar su PC
 13/dic/00 - Cómo ejecutar F-PROT en un disquete (actualizado)


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

  

Copyright 1996-2001 Video Soft BBS