Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Whistler.B (Whiter.B) Sobrescribe todos los archivos
 
VSantivirus No. 494 - Año 6 - Miércoles 14 noviembre de 2001

 Troj/Whistler.B (Whiter.B) Sobrescribe todos los archivos
http://www.vsantivirus.com/whistler-b.htm

Nombre: Troj/Whistler.B (Whiter.B)
Tipo: Caballo de Troya
Alias: Whistler, WHISTLER.B, TROJ_WHISTLER.B, Win32.Whiter.B trojan, Whiter.B1, Win32/Whiter.B.Trojan, Troj/Whiter.B
Fecha: 13/nov/01
Tamaño: 50 Kb aprox.
Destructivo: Si

Se trata de un destructivo troyano, escrito en Visual C (el ejecutable puede tener cualquier nombre, ya que su propagación solo es posible en forma premeditada, lo que involucra la posibilidad de cambiar de nombre al hacerlo).

Una vez activado, el troyano crea un mutex (ver Glosario) llamado "WhistlerMutex", y libera un archivo de un solo byte: "c:\wxp".

El troyano modifica también la siguiente rama del registro de Windows para poder ejecutarse en los próximos reinicios de Windows, cosa que no será posible si el troyano realiza antes su rutina destructiva:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Whistler = Whismng.exe -next

Luego de ello, el troyano busca y sobrescribe todos los archivos de las unidades de disco de la C a la H inclusive (si existen), con el contenido de c:\wxp (1 byte).

Eso significa que todos los archivos seguirán estando (su nombre al menos), pero serán totalmente inoperantes, al contener un solo byte cada uno.

Si se cumple esta situación, la recuperación de los archivos sobrescritos será imposible, debiéndose reinstalar Windows y todos los programas.

Por lo tanto, la limpieza de un sistema infectado luego de la activación del troyano (note que la rutina destructiva se activa apenas se ejecuta), no es posible.

Los datos personales (carpetas "Mis documentos", etc.) también se perderán, siendo la única posibilidad de recuperación, la existencia de un respaldo anterior.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Glosario:

MUTEX - Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Un caso concreto: si un mutex determinado (puede haber uno diferente para cada programa) está en memoria, el programa al que le corresponda ese mutex, asume que existe una sesión anterior de él mismo ejecutándose actualmente, negándose por lo tanto a hacerlo por segunda vez. Esto previene la múltiple carga del programa en memoria.

Referencia:

VSantivirus No. 433 - 14/set/01
Troj/Whistler.A. Destructivo generador de claves para WXP
http://www.vsantivirus.com/whistler-a.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS