|
VSantivirus No. 582 - Año 6 - Sábado 9 de febrero de 2002
TROJ/IconLib.A. Deja inutilizable a Windows en segundos
http://www.vsantivirus.com/iconlib.a.htm
Nombre: TROJ/IconLib.A
Tipo: Caballo de Troya
Alias: TROJ_ICONLIB.A, Trojan.IconLib, ICONLIB.A, ICONLIB
Fecha: 28/ene/02
Tamaño: 37,376 bytes
Fuente: Trend Micro
Plataforma: Windows
Este troyano, de ejecutarse en una computadora desprotegida (antivirus desactualizado), borrará archivos y carpetas críticas del sistema, y sobrescribirá muchos de estos archivos imprescindibles para el funcionamiento de Windows con su propio código.
Un sistema infectado comenzará dando errores de falta de memoria, llegándose al congelamiento o cuelgue del sistema, con reinicio incluido, y la imposibilidad de ingresar a Windows nuevamente.
Para proceder a la desinfección, se deberá reiniciar a través de un disquete o CD de arranque y luego será necesario el reinstalar todo el sistema desde un respaldo o desde la ubicación original del software.
El troyano ha sido programado en Visual Basic 6, requiriéndose la presencia de la biblioteca de enlace dinámico
MSVBVM60.DLL.
Rutinas destructivas
Su mayor peligrosidad reside en el hecho de que al ejecutarse, este troyano intentará borrar el contenido de los siguientes recursos:
C:\
D:\
E:\
C:\Windows\Command
C:\Windows\Command\EBD
E:\WINNT\System
E:\WINNT\Command
C:\Program Files
C:\Windows
C:\WIN98
C:\WINNT\System32\Config
D:\WINNT\System32\Config
E:\WINNT\System32\Config
También sobrescribe los siguientes archivos con su propio código:
C:\Windows\System\WSOCK32.DLL
D:\Windows\System\WSOCK32.DLL
E:\WINNT\System\REGEDIT32.EXE
C:\Windows\WINSOCK.DLL
C:\Windows\Command\START.EXE
E:\WINNT\Command\START.EXE
D:\Windows\Command\START.EXE
E:\Windows\Command\START.EXE
C:\WINNT\Command\START.EXE
C:\Windows\SYSTEM32
C:\COMMAND.COM
C:\Windows\Command\COMMAND.COM
D:\COMMAND.COM
E:\COMMAND.COM
C:\AUTOEXEC.BAT
D:\AUTOEXEC.BAT
E:\AUTOEXEC.BAT
C:\Windows\EXPLORER.EXE
C:\WINNT\COMMAND.COM
D:\WINNT\COMMAND.COM
E:\WINNT\COMMAND.COM
C:\WINNT\RUNDLL.EXE
C:\MSDOS.SYS
D:\CONFIG.SYS
E:\MSDOS.SYS
C:\CONFIG.SYS
C:\Windows\SYSTEM.DAT
C:\Windows\USER.DAT
C:\WINNT\SYSTEM.DAT
D:\WINNT\SYSTEM.DAT
C:\WINNT\USER.DAT
D:\WINNT\USER.DAT
C:\IO.SYS
C:\Windows\RUNDLL.EXE
C:\Windows\RUNDLL32.EXE
C:\Windows\CONTROL.EXE
C:\Windows\SNDVOL32.EXE
C:\Windows\WUPDMGR.EXE
C:\Windows\FTP.EXE
C:\Windows\WINHLP32.EXE
C:\Windows\WIN.COM
C:\Windows\HH.EXE
C:\Windows\PING.EXE
C:\Windows\WININIT.EXE
C:\Windows\WINHELP.EXE
C:\Windows\EMM386.EXE
C:\Windows\System\MDM.EXE
C:\Windows\System\SYSTRAY.EXE
C:\Windows\System\SHOW DESKTOP.SCF
C:\Windows\REGEDIT.EXE
C:\Windows\System\MSTASK.EXE
C:\Windows\Command\EBD\CONFIG.SYS
C:\Windows\SYSTEM.INI
C:\Windows\WIN.INI
C:\Windows\System\MSCONFIG.EXE
C:\Windows\System\REDIR32.EXE
C:\Windows\Command\EBD\AUTOEXEC.BAT
C:\Windows\Command\EBD\SETRAMD.BAT
C:\Windows\Command\BOOTDISK.BAT
C:\WIN98\SETUP.EXE
C:\WIN98\SCANPROG.EXE
C:\WIN98\FORMAT.COM
C:\Windows\Command\FORMAT.COM
C:\WIN98\SCANDISK.EXE
C:\Windows\Command\SCANDISK.EXE
Note que esta lista incluye archivos críticos, cuya falta o modificación impedirá el funcionamiento correcto de Windows.
El troyano libera también copias de si mismo con los nombres de
COMMAND.COM e ICONLIB.EXE.
La limpieza de un sistema infectado, pasa por la reinstalación de Windows y las aplicaciones que correspondan.
Ejecute luego uno o dos antivirus actualizados, y borre todos los archivos identificados como
TROJ/IconLib.A o similar.
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|