Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/TTFloader.A. Convierte su PC en un servidor
 
VSantivirus No. 164 - Año 4 - Martes 19 de diciembre de 2000

Virus: VBS/TTFloader.A
Alias: VBS/Pica.worm.gen
Tipo: Gusano de Visual Basic Script
Tamaño: 11,033 Bytes 

Se trata de un virus escrito en Visual Basic Script, capaz de propagarse vía mIRC (el programa de chat), y de configurar las computadoras infectadas para que se comporten como un servidor. Obtiene una dirección IP al azar, y verifica todas las computadoras que se conectan a él. No posee ninguna rutina destructiva.

Cuando se ejecuta, el trojan crea los archivos TTFLOADER.VBS, SNDLOAD.VBS, y SNDVOL.VBS en la carpeta oculta c:\WINDOWS\FONTS. También crea un archivo SCRIPT.INI en el directorio del mIRC, el popular programa de chateo. Esto hará que el mIRC reciba datos de otras computadoras a través del puerto 27374.

Obteniendo una dirección IP al azar, el host hará la conexión a los usuarios infectados, y también iniciará una conexión. Esto permite que la computadora del usuario infectado se comporte como un servidor.

Cuando el trojan recibe a través del puerto 27374, el texto "CONNECTED", el responde con este texto: "FTPenable!subhunt@@@21:::1$$$c:\".

Si el texto recibido es "PWD", responde: "PWD14438136782715101980".

Si el mensaje recibido es "SERVER ENABLED", entonces ejecuta el archivo SNDVOL.VBS el cuál envía el archivo SNDLOAD.VBS a la dirección IP especificada.

Si en cambio el mensaje recibido es "SERVER DISABLE", entonces procede a cerrar el puerto.

La dirección IP usada para enviar el archivo SNDLOAD.VBS es generada en forma randómica, entre estos parámetros:

172.128.xxx.xxx
152.163.xxx.xxx a 152.175.xxx.xxx
205.163.xxx.xxx
4.30.xxx.xxx a 4.45.xxx.xxx
151.196.xxx.xxx a 151.206.xxx.xxx
63.194.xxx.xxx a 63.207.xxx.xxx
216.76.xxx.xxx a 216.79.xxx.xxx
3-243.xxx.xxx.xxx

donde las xxx son valores de 1 a 254

También agrega las siguientes entradas al registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TTFload = Wscript.Exe

HKCU\Software\Microsoft\Windows Scripting Host\Settings
Timeout, 0 , Reg_dword

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = http://www.zonelabs.com/

Esta última, cambia la página de inicio por defecto del Explorer, por la del software ZoneAlarm, un cortafuegos de uso gratuito a nivel privado.

Para eliminar el trojan, borre los archivos TTFLOADER.VBS, SNDLOAD.VBS, y SNDVOL.VBS en la carpeta c:\WINDOWS\FONTS.

Remueva también las entradas del registro mencionadas antes.

Cambie también la dirección que desee como página de inicio de su Explorer.

Utilice un antivirus actualizado para revisar su sistema.

Fuente: TrendMicro


Ver también:
 29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven

 

Copyright 1996-2000 Video Soft BBS