Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan.Billrus.Texto. Puede borrar todo el disco duro
 
VSantivirus No. 363 - Año 5 - Viernes 6 de julio de 2001

Nombre: Trojan.Billrus.Texto
Tipo: Caballo de Troya
Fecha: 29/jun/01
Tamaño: 36,864 bytes

Es un caballo de Troya, escrito en Visual Basic, que intenta engañar al usuario al mostrar un icono similar al de cualquier archivo de texto.

Cuando se ejecuta por primera vez, el troyano abre el bloc de notas de Windows, y despliega la dirección electrónica del presunto autor del virus.

Agrega luego un valor al registro, de modo de poder ejecutarse automáticamente en cada reinicio de Windows.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Shell = Windows\system\Rundii32.exe

El troyano también accede al editor del registro (REGEDIT.EXE). Aunque no lo ejecuta, el usuario no podrá usarlo mientras el troyano esté activo.

Una vez residente en memoria, cada 10 minutos intenta acceder a la unidad de disquetes A:. Si encuentra un disquete no protegido contra grabación, borra de él tantos archivos como sean necesarios, a los efectos de obtener el espacio suficiente para poder copiarse allí él mismo, junto a otro archivo requerido para su funcionamiento, una librería runtime (.DLL) de Visual Basic.

Los atributos de este archivo son puestos como oculto (+H), del sistema (+S), y solo lectura (+R), dificultando su eliminación.

También se copia a si mismo, en la siguiente ubicación:

C:\Windows\System\Rundii32.exe

El troyano puede además borrar los siguientes archivos, y reemplazarlos con copias de él mismo:

Attrib.exe
Edit.com
Format.com
Deltree.exe
Ed.cab
Mscdex.exe
Appwiz.cpl
Attrib.com
Deltree.com

También puede cambiar su propio nombre por uno cualquiera de los 18 de esta lista:

Readme.exe
Gratis.exe
Leeme.exe
Trucos.exe
Texto.exe
Notas.exe
Free.exe
Aviso.exe
Demo.exe
Software.exe
Shareware.exe
Chistes.exe
Leer.exe
Datos.exe
Documento.exe
Freeware.exe
Password.exe
Clave.exe

El Trojan.Billrus.Texto, posee una rutina destructiva, y para activarla, lleva la cuenta de las veces que se ha ejecutado. Si este valor llega a 30, entonces procede a borrar todos los archivos del disco duro (C:), además de mostrar este mensaje:

Uruguay
Billrus

El troyano se activa la primera vez, al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Como sacar el troyano de un sistema infectado

Tenga en cuenta que si el troyano ejecutó su rutina destructiva, deberá reinstalar Windows.

Para eliminar Trojan.Billrus.Texto manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día y borre todas las apariciones del archivo del virus.

2. Reinicie su computadora, y luego, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Shell

5. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Revise con dos o más antivirus al día, todos sus discos y disquetes.


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS