Trojan: Flor. Caballo de Troya en disquetes, y en portugués

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 204 - Año 5 - Domingo 28 de enero de 2001

Nombre: Flor
Tipo: Caballo de Troya
Fecha: 26/ene/01
Origen: Portugal
Tamaño: 12,800

Es un troyano escrito en Visual Basic, capaz de quedar residente en memoria. Para que funcione, se requiere que en la computadora de la víctima estén instaladas las librerías de Visual Basic 5 o superior.

Cuando es ejecutado, el troyano se carga en memoria, y cada 60 segundos intenta copiarse a si mismo en estas ubicaciones:

A:\PORNOGRAFIA.EXE
C:\WINDOWS\MENU INICIAR\PROGRAMAS\INICIAR\ .EXE

Esta última ubicación, corresponde a la carpeta de inicio de la edición en portugués de Windows.

Otra de las acciones del troyano, será el intentar conectarse a una página ubicada en el servidor http://www3.cybercities.com, cuando el usuario inicia una sesión en Internet.

La búsqueda de un disquete en intervalos de un minuto (delatada por la actividad de la disquetera aun cuando no haya disquete insertado), o la existencia en los disquetes de un archivo llamado "PORNOGRAFIA.EXE" son los síntomas de su presencia en nuestro sistema.

La manera más común de propagarse este troyano es vía disquetes. Sin embargo, no se descarta la acción de usuarios maliciosos que lo puedan enviar a sus víctimas, adjunto a un mensaje. Sin embargo, en estos casos, la acción sería premeditada, ya que el troyano no posee características de gusano ni ninguna otra rutina de propagación.

Fuente: McAfee