Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

TROJ/IconLib.A. Deja inutilizable a Windows en segundos
 
VSantivirus No. 582 - Año 6 - Sábado 9 de febrero de 2002

TROJ/IconLib.A. Deja inutilizable a Windows en segundos
http://www.vsantivirus.com/iconlib.a.htm

Nombre: TROJ/IconLib.A
Tipo: Caballo de Troya
Alias: TROJ_ICONLIB.A, Trojan.IconLib, ICONLIB.A, ICONLIB
Fecha: 28/ene/02
Tamaño: 37,376 bytes
Fuente: Trend Micro
Plataforma: Windows

Este troyano, de ejecutarse en una computadora desprotegida (antivirus desactualizado), borrará archivos y carpetas críticas del sistema, y sobrescribirá muchos de estos archivos imprescindibles para el funcionamiento de Windows con su propio código.

Un sistema infectado comenzará dando errores de falta de memoria, llegándose al congelamiento o cuelgue del sistema, con reinicio incluido, y la imposibilidad de ingresar a Windows nuevamente.

Para proceder a la desinfección, se deberá reiniciar a través de un disquete o CD de arranque y luego será necesario el reinstalar todo el sistema desde un respaldo o desde la ubicación original del software.

El troyano ha sido programado en Visual Basic 6, requiriéndose la presencia de la biblioteca de enlace dinámico MSVBVM60.DLL.

Rutinas destructivas

Su mayor peligrosidad reside en el hecho de que al ejecutarse, este troyano intentará borrar el contenido de los siguientes recursos:

C:\ 
D:\ 
E:\ 
C:\Windows\Command 
C:\Windows\Command\EBD 
E:\WINNT\System 
E:\WINNT\Command 
C:\Program Files 
C:\Windows 
C:\WIN98 
C:\WINNT\System32\Config 
D:\WINNT\System32\Config 
E:\WINNT\System32\Config

También sobrescribe los siguientes archivos con su propio código:

C:\Windows\System\WSOCK32.DLL 
D:\Windows\System\WSOCK32.DLL 
E:\WINNT\System\REGEDIT32.EXE 
C:\Windows\WINSOCK.DLL 
C:\Windows\Command\START.EXE 
E:\WINNT\Command\START.EXE 
D:\Windows\Command\START.EXE 
E:\Windows\Command\START.EXE 
C:\WINNT\Command\START.EXE 
C:\Windows\SYSTEM32 
C:\COMMAND.COM 
C:\Windows\Command\COMMAND.COM 
D:\COMMAND.COM 
E:\COMMAND.COM 
C:\AUTOEXEC.BAT 
D:\AUTOEXEC.BAT 
E:\AUTOEXEC.BAT 
C:\Windows\EXPLORER.EXE 
C:\WINNT\COMMAND.COM 
D:\WINNT\COMMAND.COM 
E:\WINNT\COMMAND.COM 
C:\WINNT\RUNDLL.EXE 
C:\MSDOS.SYS 
D:\CONFIG.SYS 
E:\MSDOS.SYS 
C:\CONFIG.SYS 
C:\Windows\SYSTEM.DAT 
C:\Windows\USER.DAT 
C:\WINNT\SYSTEM.DAT 
D:\WINNT\SYSTEM.DAT 
C:\WINNT\USER.DAT 
D:\WINNT\USER.DAT 
C:\IO.SYS 
C:\Windows\RUNDLL.EXE 
C:\Windows\RUNDLL32.EXE 
C:\Windows\CONTROL.EXE 
C:\Windows\SNDVOL32.EXE 
C:\Windows\WUPDMGR.EXE 
C:\Windows\FTP.EXE 
C:\Windows\WINHLP32.EXE 
C:\Windows\WIN.COM 
C:\Windows\HH.EXE 
C:\Windows\PING.EXE 
C:\Windows\WININIT.EXE 
C:\Windows\WINHELP.EXE 
C:\Windows\EMM386.EXE 
C:\Windows\System\MDM.EXE 
C:\Windows\System\SYSTRAY.EXE 
C:\Windows\System\SHOW DESKTOP.SCF 
C:\Windows\REGEDIT.EXE 
C:\Windows\System\MSTASK.EXE 
C:\Windows\Command\EBD\CONFIG.SYS 
C:\Windows\SYSTEM.INI 
C:\Windows\WIN.INI 
C:\Windows\System\MSCONFIG.EXE 
C:\Windows\System\REDIR32.EXE 
C:\Windows\Command\EBD\AUTOEXEC.BAT 
C:\Windows\Command\EBD\SETRAMD.BAT 
C:\Windows\Command\BOOTDISK.BAT 
C:\WIN98\SETUP.EXE 
C:\WIN98\SCANPROG.EXE 
C:\WIN98\FORMAT.COM 
C:\Windows\Command\FORMAT.COM 
C:\WIN98\SCANDISK.EXE 
C:\Windows\Command\SCANDISK.EXE

Note que esta lista incluye archivos críticos, cuya falta o modificación impedirá el funcionamiento correcto de Windows.

El troyano libera también copias de si mismo con los nombres de COMMAND.COM e ICONLIB.EXE.

La limpieza de un sistema infectado, pasa por la reinstalación de Windows y las aplicaciones que correspondan.

Ejecute luego uno o dos antivirus actualizados, y borre todos los archivos identificados como TROJ/IconLib.A o similar.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS