Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Dropper.W32.ExeStealth. Libera y ejecuta troyanos
 
VSantivirus No. 878 - Año 7 - Lunes 2 de diciembre de 2002

Troj/Dropper.W32.ExeStealth. Libera y ejecuta troyanos
http://www.vsantivirus.com/exe-stealth.htm

Nombre: Troj/Dropper.W32.ExeStealth
Tipo: TrojanDropper
Alias: ExeStealth, TrojanDropper.Win32.ExeStealth, EXE Stealth
Fecha: 2/dic/02
Fuente: Kaspersky

Este programa, no es técnicamente un caballo de Troya en si mismo, pero está diseñado para esconder cualquier otro archivo ejecutable dentro de él. Este archivo (un troyano o un virus), puede luego ser liberado en la computadora y luego ejecutado, todo en forma silenciosa y clandestina, lo que convierte a esta "herramienta" en un troyano.

Un DROPPER (o cuentagotas), es un código que cuando se ejecuta "gotea" o libera un virus. Por lo tanto un "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper". ExeStealth en cambio, ha sido agregado a las bases de datos de casi todos los antivirus.

Cuando ExeStealth se ejecuta, no hay ninguna indicación para la víctima de que se instala y ejecuta otro programa en el sistema.

ExeStealth puede transportar y liberar un solo .EXE, y no se ejecuta si detecta la presencia de algún "debugger" como "SoftIce" en el sistema. Un debugger permite examinar paso a paso la ejecución de un programa para examinarlo y es utilizado a menudo por los investigadores de virus.

El archivo .EXE puede ser encriptado por el propio programa.

Al ejecutarse, ExeStealth guarda el valor "666" (29Ah en hexadecimal), en una variable interna, pero no parece hacer uso de ella en algún momento. Esto podría ser una prueba indirecta de que el autor o los autores, pertenezcan al grupo 29A, conocidos programadores de virus.

El paquete original de esta "herramienta" incluye varios archivos:
  • El propio dropper
  • Una utilidad de configuración para personalizarlo
  • Un archivo de texto (readme.txt) donde figura entre otra, la siguiente información:

EXE Stealth V2.3 Shareware by WebtoolMaster Date: 23.08.2002

Recuerde que no se trata de un troyano en si mismo, sino que puede transportar y ejecutar uno (o cualquier otro ejecutable, incluido un virus). Por ello, la limpieza de un sistema infectado en principio consiste solo en borrar este archivo y el creado por él en el sistema. Un procedimiento más extenso puede ser necesario en caso de que el troyano o virus liberado se haya ejecutado.

Mantener actualizados sus antivirus, impedirá que este dropper llegue a cumplir su cometido.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS