Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

RapidBlaster, un parásito difícil de eliminar
 
VSantivirus No. 1093 Año 7, Sábado 5 de julio de 2003

RapidBlaster, un parásito difícil de eliminar
http://www.vsantivirus.com/rapidblaster.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy



RapidBlaster es un código parásito que se instala vía ActiveX, en forma silenciosa y clandestina, cuando se visitan sitios web de diferente naturaleza, generalmente dedicados a la pornografía. También se instala con algunas utilidades que agregan barras de herramientas como ISTBar.

Este parásito, se ejecuta luego en cada reinicio de Windows, y cada vez que detecta alguna conexión a Internet presente, se conecta cada cierto tiempo a servidores predeterminados a los efectos de mostrar ventanas pop-ups que se abren sin pedirnos permiso, en este caso con publicidad pornográfica.

Según se menciona en el sitio oficial de Rapidblaster, este software colecciona y almacena información acerca de las páginas visitadas por el usuario y los datos ingresados a los buscadores, entre otras cosas. Algunos de los datos recolectados de esta forma pueden llegar a ser incluso personales (nombres, dirección de e-mail, etc.).

RapidBlaster también envía un identificador único a los servidores que lo controlan, de modo que cada computadora infectada puede ser claramente registrada.

También puede descargar y ejecutar otra clase de código, cómo discadores o al propio RapidBlaster que puede volverse a instalar después de haber sido aparentemente eliminado. Todo ello en forma silenciosa para el usuario.

RapidBlaster es identificado también como RB32 (rb32.exe es el nombre de su ejecutable).

Existen variantes, RapidBlaster/v1 es la versión original. RapidBlaster/lp es una actualización con algunas pequeñas diferencias. Y finalmente RapidBlaster/Ainst es un instalador ActiveX, capaz de cargar y ejecutar las dos versiones anteriores (v1 y lp).

La variante más reciente tiene la capacidad de transformarse a si misma (morphing), para eludir su detección. Cómo dijimos, RapidBlaster descarga datos en forma periódica de sus servidores. Estos datos pueden contener información para crear una nueva carpeta, en donde se copia con un nuevo nombre de archivo. Luego, finaliza el proceso original y borra el archivo correspondiente, ejecutándose con el nuevo nombre y desde la nueva ubicación.

Cómo el nombre de la carpeta y del archivo, son seleccionados al azar por el servidor, y no están indicados en ninguna otra parte, es muy difícil para los programas que buscan y borran spywares (anti-spywares), identificar cada versión nueva. Incluso es complicado intentar eliminarlos manualmente.

Aunque el usuario identificara la clave en el registro usada para la autoejecución del RapidBlaster, mientras éste estuviera ejecutándose puede recibir las instrucciones para cambiar de carpeta y de nombre, y por lo tanto de clave en el propio registro. Por lo tanto todo proceso de eliminación manual es muy delicado.

Existe una herramienta llamada "RapidBlaster Killer", específicamente creada para eliminar este spyware, que puede ser descargada del enlace que se da al final. Es una utilidad gratuita, preparada para eliminar correctamente todas las variantes de RapidBlaster, incluida la versión capaz de realizar el "morphing".


Referencias

Descarga de RapidBlaster Killer (35 Kb)
http://www.wilderssecurity.net/specialinfo/rapidblaster.html#removal


Actualizaciones:

27/dic/03 - Enlaces a nuevas versiones de RapidBlaster Killer




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS