Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Adnap. Simula ser el antivirus Panda
 
VSantivirus No. 774 - Año 6 - Miércoles 21 de agosto de 2002

Troj/Adnap. Simula ser el antivirus Panda
http://www.vsantivirus.com/adnap.htm

Nombre: Troj/Adnap
Tipo: Caballo de Troya
Alias: Trojan.Adnap
Fecha: 19/ago/02
Tamaño: 329,216 bytes
Plataforma: Windows 32-bits

Este troyano se disfraza como un conocido antivirus (Panda), e intenta una conexión TCP/IP a una página Web hospedada en www.geocities.com. Para ello habilita el puerto 20480.

El troyano debe ser ejecutado por el usuario de la computadora para activarse. Si ello ocurre, el mismo modifica el archivo Autoexec.bat para copiarse en el sistema al reiniciarse éste (solo Windows 95 y 98).

@copy [nombre del troyano] C:\Windows\FPanda.exe

No funciona si la ubicación de Windows es diferente a C:\Windows.

También crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXD = C:\Windows\FPanda
APVXDWin =
[nombre y ubicación original del troyano]

El troyano requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.

Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Para quitar el troyano de su sistema, solo borre el ejecutable (puede tener cualquier nombre). Para identificarlo, utilice un antivirus al día para examinar todos los archivos de su disco duro.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

APVXD
APVXDWin

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo AUTOEXEC.BAT

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit  c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre la siguiente línea si ésta existiera:

@copy [nombre del troyano] C:\Windows\FPanda.exe

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Notas

Además de lo explicado en este artículo, recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS