Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan/Fpanda. Simula ser el antivirus Panda Platinum
 
VSantivirus No. 457 - Año 5 - Lunes 8 de octubre 2001

Nombre: Trojan/FPanda
Tipo: Caballo de Troya
Tamaño: 329.216 bytes

No es un troyano nuevo, pero ha sido reportado recientemente por Panda Antivirus. Programado en Delphi, su característica más destacable, es que pretende hacerse pasar por el producto Panda Platinum de la mencionada compañía.

Puede propagarse, a través de disquetes, CD-ROM's, recursos compartidos en red, o Internet, incluido como archivo adjunto a un mensaje de correo.

El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Cuando el troyano es ejecutado, se crea un archivo llamado FPANDA.EXE en el directorio Windows.

La intención es hacer creer al usuario que el antivirus Panda Platinum se ha instalado en el sistema, cuando no es así.

El troyano intentará además conectarse a una página de Internet en www.geocities.com.

Si no se produjera la conexión, se muestra el siguiente mensaje de error:

Casillas
Windows socket error: (10049), on API connect
[ Aceptar ]

La primera acción del troyano es modificar el archivo AUTOEXEC.BAT, con el agregado de la siguiente línea:

@COPY <Ubicación_del_troyano>\CASILLAS.EXE C:\windows\fpanda.exe

Esto funcionará en el caso de que el troyano original se llame CASILLAS.EXE.

Luego, modificará el registro de Windows, agregando las siguientes claves:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXD = C:\Windows\fpanda.exe
APVXDWIN = \Casillas.exe

Normalmente, son entradas utilizadas realmente por Panda Platinum para cargar el examen residente de archivos y de Internet. Si Panda Platinum estuviera realmente instalada en el sistema, el troyano cambiará los valores reales por los que apuntan a sus ejecutables.

De cualquier modo, el antivirus seguirá funcionando, sin mostrarse nada extraño en su acción.

Luego, el troyano abre el puerto TCP/IP 20480 para intentar conectarse a una dirección en www.geocities.com. Esto lo repite en determinados periodos de tiempo.

Cuando la computadora infectada se reinicia, el troyano se copiará en el directorio C:\Windows con el nombre FPANDA.EXE, gracias al cambio en el archivo AUTOEXEC.BAT.

Para quitar este troyano, deberá ejecutar un antivirus actualizado, y borrar los archivos involucrados.

Borre las líneas agregadas al archivo AUTOEXEC.BAT y al registro en la clave "Run", y de ser necesario, si lo tenía instalado, reinstalar el Panda Platinum.


Fuente: Panda Software
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS