|
VSantivirus No. 297 - Año 5 - Martes 1 de mayo de 2001
Nombre: SadCase.Trojan
Tipo: Caballo de Troya
Alias: Win32.Sadcase, Trojan.BAT.Lol
Tamaño: 102,400 bytes
Destructivo: Si
Reportado activo: Si
Fecha: 26/abr/01
SadCase, es un troyano de acción directa (se activa cuando el usuario lo ejecuta, suponiendo se trata de un parche para el juego
"Counter Strike"), que intenta borrar todos los archivos de la unidad C. Se trata de un archivo en formato PE (ejecutable
Win32), escrito en Visual C++.
En el momento que se ejecuta, el troyano muestra esta ventana de mensajes:
Counter-Strike Client-Side GodMode
Counter-Strike Client-Side Godmode (position modifier).
Makes the server think you are 99999 units above where
you actually are, so you can't get shot.
By Nopcode - Btw: Chazz
cant't hack.
[ Activate ]
Si se pulsa sobre el botón [ Activate ], se despliega otro mensaje con las siguientes características:
Godmode
Patch Successful!
[ Aceptar ]
Sea o no pulsado ese botón, el troyano ejecuta este comando:
deltree /y c:/
Esta orden comienza a borrar todos los archivos en la unidad C. Luego de ello el troyano crea los siguientes archivos:
C:\WINDOWS\Menú
Inicio\Programas\Inicio\Owned.bat
C:\autoexec.bat
Si alguno de ellos existe, es reemplazado. Estos archivos pueden ser borrados también por el comando anterior. Ambos son idénticos, y si se ejecutan, muestran el siguiente mensaje:
Lol, the format continues!
You piss me off, now I piss you off!
Y luego de ello, también ejecutan este comando:
deltree /y c:/
Finalmente, el troyano muestra dos ventanas más de mensajes:
That sucks...
Your harddrive is being deleted as you read this.
Go ahead and look at it! ROFL
[ Aceptar ]
Y luego:
Owned by the l337
I suppose I could give you a hint as how to stop this,
shutoff your system ASAP to salvage whatever
is left of it. Have fun re-installing windows!
[ Aceptar ]
Es interesante notar lo dañino que puede ser este troyano. Si por alguna razón el usuario interrumpe la ejecución de la acción destructiva en el primer intento (pulsando el botón de POWER en el gabinete por ejemplo), la copia de los archivos
AUTOEXEC.BAT y en algunos casos OWNED.BAT, podrían hacer que esta acción se volviera a iniciar, siempre que otros archivos importantes de Windows no hayan sido aún borrados. De cualquier modo, las probabilidades que Windows no vuelva a iniciarse (y aún que no se pueda arrancar desde la unidad C), son bastantes grandes, debiéndose necesariamente, optar por una reinstalación total del sistema.
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo (en este caso, pensando se trata de un parche para un conocido juego).
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Fuente: Computer Associates, Trend Micro, Network Associates, Symantec.
(c) Video Soft - http://www.videosoft.net.uy
|
|