|
VSantivirus No 2491 Año 11, martes 10 de julio de 2007
Botvoice.A. Destructivo troyano que "habla"
http://www.vsantivirus.com/botvoice-a.htm
Nombre: Botvoice.A
Nombre NOD32: Win32/Botvoice.A
Tipo: Caballo de Troya
Alias: Botvoice.A, Trj/BotVoice.A, Win32\Hira.A, Win32/Botvoice.A
Fecha: 9/jul/07
Plataforma: Windows 32-bit
Tamaño: 20,992 bytes (AsPack)
Caballo de Troya que deshabilita la ejecución de archivos con determinadas extensiones.
También impide la utilización de ciertas herramientas como el administrador de tareas y el editor del registro, dificultando su eliminación una vez que se ha ejecutado.
También borra todos los archivos de la unidad C que no estén en uso. No borra los archivos que estén protegidos contra escritura, etc.
Elimina todos los accesos directos del escritorio (.LNK), y todos los archivos en la carpeta "Mis documentos".
Si el troyano se ejecuta, una frase en inglés, puede ser escuchada en un bucle sin fin por los parlantes conectados al PC infectado.
La frase, en inglés, vocaliza el siguiente texto:
You have been infected
I repeat You have been infected and
your system files has been deleted.
Sorry. Have a Nice Day and bye bye
Cambia las siguientes entradas del registro para impedir que se puedan abrir archivos con las extensiones .BAT, .COM, .EXE, .HTML, .JS, .MP3, .PIF y
.VBS:
HKCR\batfile\shell\open\command
HKCR\comfile\shell\open\command
HKCR\exefile\shell\open\command
HKCR\htmlfile\shell\open\command
HKCR\JSFile\shell\open\command
HKCR\mp3file\shell\open\command
HKCR\piffile\shell\open\command
HKCR\VBSFile\shell\open\command
La siguiente frase es agregada en dichas entradas:
:: Win32\Hira.A - eCORE[GEDZAC] -
I AlwAyS WilL LoVE YoU BeA ::
También crea las siguientes entradas para deshabilitar el Administrador de Tareas y el Editor del registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
IMPORTANTE: Si posee ESET NOD32 Antivirus actualizado, el troyano no se podrá ejecutar y solo deberá eliminar el archivo detectado. Si la detección de este malware se produce después que el mismo se ha ejecutado en el sistema, la limpieza completa podría requerir la reinstalación de algunos programas, incluido el sistema operativo.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|