| |
VSantivirus No. 851 - Año 7 - Martes 5 de noviembre de 2002
Troj/Zasil. Muestra una imagen pornográfica
http://www.vsantivirus.com/zasil.htm
Nombre: Troj/Zasil
Tipo: Caballo de Troya
Alias: Trojan.Zasil, Trojan.Zasil, TrojanClicker.Win32.Zasil, Downloader-BN
Fecha: 4/nov/02
Tamaño: 46,080 bytes (dropper), 16,384 bytes
Plataforma: Windows 32-bits
Es un caballo de Troya que intenta enviar información de la computadora infectada (como su dirección IP), al atacante que
lo envió.
Puede llegar en mensajes que simulan un SPAM (publicidad no deseada). No tienen un mecanismo de propagación propio, pero el mensaje ha sido reenviado por conocidos spammers.
Las características de este mensaje (que puede variar), son:
Asunto:
Free Video
Datos adjuntos:
[uno de los siguientes]
- Minenew.mpg.pif (46,080 bytes)
- Minenew.exe.pif (46,080 bytes)
La dirección del remitente puede tener el sufijo
.FR (Francia).
MINENEW.MPG.PIF o MINENEW.EXE.PIF, simulan ser una animación o un ejecutable (la segunda extensión, .PIF, también ejecutable, no es visible en una configuración por defecto de Windows). Su icono es el clásico utilizado por los archivos de Windows Media Player. Cuando el usuario lo abre, se muestra una imagen de origen pornográfico, creándose luego el siguiente archivo:
C:\Windows\Registry.exe
REGISTRY.EXE es el troyano propiamente dicho, el cuál también se ejecuta luego de mostrarse la imagen mencionada antes.
Su tamaño es de 16,384 bytes, y muestra el mismo icono del editor del registro de Windows
(REGEDIT.EXE).
En C:\Windows\TEMP se copia la imagen pornográfica. Dicho archivo no posee ningún código maligno.
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).
El troyano crea la siguiente entrada en el registro, para autoejecutarse en próximos reinicios del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Registry Services = C:\Windows\Registry.exe
Una entrada adicional es creada en el registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
El troyano intenta enviar la dirección IP de la máquina infectada, al supuesto autor del mismo.
Para ello, primero intenta conectarse a un sitio de usuario en
Geocities.com, para obtener una dirección URL.
Luego, se conecta a esa dirección, enviando entonces la dirección IP del usuario infectado, y la cadena
"Second,email_zasil".
El troyano podría llegar a recibir otras clases de instrucciones con un simple cambio en el sitio Web original de donde toma la información para enviar los datos obtenidos.
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Borrar los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\Registry.exe
Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Registry Services
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
