Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Rast.2060. Usa el Eudora, simula una dirección Web
 
VSantivirus No. 209 - Año 5 - Viernes 2 de febrero de 2001

Nombre: W32/Rast.2060
Tipo: Gusano de Internet
Fecha: 31/ene/01
Origen: publicado en Newsgroups
Tamaño: 2060 bytes

Es un gusano de Internet, posteado originalmente en forma anónima en un newsgroup. Aunque supuestamente, es capaz de extenderse utilizando el cliente de correo Eudora, falla en su intento.

Fue publicado en un grupo de noticias, y es capaz de engañar al usuario para que lo ejecute, por su nombre:

www.back2africa.com

Este archivo no es una dirección de Internet, sino un programa .COM de MS-DOS.

Dentro del código del archivo .COM y del .EXE (PE) creado por el primero al ser ejecutado, existe el siguiente comentario, el cuál no es mostrado en ningún momento:

Haile Selassie is Jesus Christ!

El archivo .EXE, contiene además el siguiente mensaje:

(tehporp sih si anceV dnA)

Que escrito al revés (como en un espejo) sería:

(And Vecna is his prophet)

Esta es una referencia al escritor de virus Vecna, creador de otros gusanos como el W95/Babylonia, etc.

Los síntomas de la presencia de este gusano, son la aparición de un archivo de firmas llamado RASTAMAN.TXT en el Eudora. Esta nueva firma, contiene el archivo .COM original, en formato UUENCODE.

La infección ocurre cuando el archivo .COM es ejecutado (doble clic). El nombre del archivo similar a una dirección Web, engaña fácilmente al usuario, que lo ejecuta pensando se trata de un link a una página.

Este archivo de DOS, primero chequea si se está ejecutando en un entorno de Windows 9x. Si es así, intenta extraer un ejecutable en formato PE (.EXE), agregado a su código. Lo guarda en el directorio TEMP con un nombre al azar. Luego, lo intentará ejecutar con el comando START.EXE de Windows.

El archivo .EXE examina el sistema en busca del programa Eudora, y si lo está, agrega un archivo de firmas al mismo, con el nombre RASTAMAN.TXT. Como vimos, esta nueva firma contiene el archivo .COM original en formato UUENCODE. La idea está basada en el virus JS/Kak, solo que en lugar de usar el Outlook, este virus utiliza el Eudora.

Fuente: McAfee

 

Copyright 1996-2001 Video Soft BBS