|
VSantivirus No. 281 - Año 5 - Domingo 15 de abril de 2001
Nombre: Trojan/Futs (BW/770.b)
Tipo: Caballo de Troya de DOS
Alias: Futs, FUTS.81424.Nuker.TROJAN, FUTS.770, FUTS.MODEL.TROJAN
Tamaño: 81,424 bytes
Fecha: 5/abr/01
Origen: Holanda
Futs supone ser una utilidad, escrita en PASCAL, creada presumiblemente con la intención de hacer daño en institutos de enseñanza, inclusive afectando las redes.
Es capaz de liberar un virus (BW/770.b), con opciones para borrar archivos, enviar mail-bombs, o destruir la información del disco duro, etc.
Futs copia este virus, con el nombre de RASCAN.COM, en el directorio raíz del sistema
(C:\).
Dentro de su código puede verse este texto:
DoN'T Be a FooL, FuCK THe SCHooL (WiTH FUTS oF CouRSe :)
Está diseñado para funcionar en cualquier plataforma que soporte un entorno
DOS (OS/2, Windows), e incluso podría funcionar en una red
Novell, sobre IPX.
Cuando FUTS (la utilidad principal) se ejecuta, muestra una ventana MS-DOS en caracteres
ANSI.
La versión actual de este programa (6.6), permite algunas acciones legítimas, como búsqueda de archivos, creación de directorios y chat en la red.
Pero también puede realizar estas acciones:
- Destruir con basura, los datos de la memoria CMOS, causando errores en el reinicio del PC (esta memoria guarda los datos de configuración del hardware de la computadora).
- Simular un falso formateo del disco duro.
- Inundar (flooding) el servidor de la red con tanta información como para hacerlo caer.
- Destruir el sector de arranque del equipo (Master Boot Record,
MBR), y la tabla de particiones. Esto impedirá el inicio del sistema, y probablemente causará la perdida de todo el contenido del disco duro si no se usan las herramientas apropiadas para repararlo.
- Apertura de una sesión de "chat" bajo el protocolo IPX en la red Netware.
- Mostrar un registro con todas las acciones realizadas.
- Obtener información del sistema.
- Aumentar el tamaño de los archivos con información basura.
- Llenar el disco duro con información basura.
- Envío masivo de correo (mail-bombs)
- Desconexión de los usuarios dentro de una sesión Netware.
- Mostrar una falsa pantalla (llamada "teacher screen") que simula un editor de
PASCAL, con la intención de evitar que un profesor pueda descubrir el uso del programa si se acerca al monitor del alumno que lo está usando.
- Modificar el archivo AUTOEXEC.BAT.
- Posibilidad de realizar un ataque a través de módem a un número de teléfono seleccionado.
- Congelar el equipo, obligando a su reinicio.
- Instalar el virus BW/770.B, creado con el kit "Biological Warfare".
- Sustituir el archivo WIN.COM por otro de 221 bytes que muestra un mensaje de error al reiniciarse Windows.
Virus: BW/770.b
Alias: BW/773.b
Tipo: Virus de DOS
Tamaño: 770 bytes
BW/770.B, aparentemente creado con el kit de creación de virus,
"Biological Warfare", ha sido modificado manualmente después de ello. Este virus es insertado en el sistema por la utilidad
FUTS.
El virus no permanece en memoria. Cuando se ejecuta, realiza una búsqueda recursiva en el sistema para encontrar e infectar archivos
.EXE y .COM. Sin embargo, no toma ningún recaudo para evitar modificar tanto archivos
.EXE de MS-DOS, como Win32 (PE, Portable Executable). Esto ocasiona que cuando se ejecute un archivo PE infectado, o bien no funcione el archivo, o bien no funcione el virus.
Cuando infecta un archivo .COM, el virus sobreescribe los primeros 3 bytes con las instrucciones para saltar al final del archivo (al
EOF, End-Of-File), punto donde se ha agregado el propio virus. Como resultado, primero se ejecuta el virus, y luego se devuelve el control al programa infectado.
Para infectar archivos .EXE, el virus examina si los primeros dos bytes corresponden a los caracteres
MZ (esto identifica a los ejecutables estándar). Estos caracteres se encuentran dentro del cabezal del ejecutable. Allí también se encuentra información de la dirección de ejecución del programa. El virus suplanta esta dirección por la de su propio código, el que copia al final del archivo infectado. Luego de su acción, el virus devuelve el control a la dirección original de ejecución. Esta técnica, ampliamente utilizada en viejos virus de MS-DOS, puede causar problemas de funcionamientos en los ejecutables de Win32
(PE).
Ocasionalmente, el virus puede realizar estas acciones:
- Mostrar el mensaje:
Don't be a fool, fuck the school
- Simular el formateo del disco duro.
- Generar pitidos a intervalos regulares en la computadora infectada, hasta que la misma es reiniciada.
Para quitar este virus de un sistema infectado, debe ejecutar un antivirus al día, y borrar los archivos identificados como
FUTS.
Si se produce alguna de las acciones dañinas del virus (borrado de archivos vitales o del disco duro), se deberá reinstalar estos archivos desde un respaldo, recuperar los datos del disco duro con las herramientas apropiadas, o proceder a particionar, formatear y reinstalar el sistema en el peor de los casos.
Usuarios de Windows Me
Para limpiar el sistema en Windows Me, deberá deshabilitar la herramienta
"Restaurar sistema" como se indica a continuación, y luego correr un antivirus en "Modo a prueba de fallos", iniciando la PC con la tecla CTRL pulsada hasta que aparezca la pantalla para seleccionar esta opción.
Cómo deshabilitar la herramienta "Restaurar sistema" en Windows Me
1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
2. Pinche en la lengüeta "Rendimiento"
3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
4. Seleccione la lengüeta "Solución de problemas"
5. Marque la casilla "Deshabilitar Restaurar sistema"
6. Pinche en el botón "Aplicar"
7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
8. Pinche en el botón "Cerrar" de Propiedades de Sistema
9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI
De este modo la utilidad "Restaurar sistema" quedará deshabilitada
Luego reinicie la computadora en "Modo a prueba de
fallos" (pulse F8 o mantenga CTRL pulsada al reiniciar la computadora), y ejecute un antivirus al día para borrar los archivos infectados.
Para volver a habilitar la herramienta "Restaurar
sistema", reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.
Fuente: Sophos, Symantec, Panda, Central Command, Network Associates, Computer Associates
|
|