Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W95/SoFunny.Worm@m. Roba las contraseñas de AOL
 
VSantivirus No. 369 - Año 5 - Jueves 12 de julio de 2001

Nombre: W95/SoFunny.Worm@m
Tipo: Caballo de Troya y gusano
Alias: AOL.PWSteal.86016
Tamaño: 86016 bytes
Fecha: 3/jul/01

Este caballo de Troya con habilidades de gusano, llega en un mensaje con estas características:

Asunto: Fwd: This is great! =) or Fwd: This is hilarious! =)
Archivo adjunto: Sofunny.exe o Love.exe (86,016 bytes)

Escrito en Visual Basic, es capaz de propagarse utilizando el software de America Online (AOL).

Cuando el adjunto es ejecutado por el usuario, el troyano se copia en esta ubicación:

C:\Windows\Msdos423.exe

También modifica el registro para ejecutarse en el inicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msdos423 = C:\Windows\Msdos423.exe

Genera el siguiente archivo:

C:\Windows\Msdos423.ini

Este archivo de texto, que sirve para marcar su presencia en la máquina infectada, al mismo troyano, contiene los siguientes datos:

[Setup]
Copied=True

Si el gusano se ejecuta por primera vez, se muestra el siguiente mensaje:

Fatal Error #6834
An unknown error has occurred.
[  Aceptar  ]

Para no aparecer en la lista de tareas (CTRL+ALT+SUPR), y permanecer oculto, el gusano se registra a si mismo como un proceso del tipo Servicio.

El gusano intercepta el control de las ventanas de programas que se están corriendo, y si detecta alguna perteneciente a AOL (AOL login class names), puede capturar la información correspondiente a nombre de usuario y contraseña. También es capaz de determinar el nombre del usuario conectado y el nombre (NetBIOS) de la computadora.

Luego, puede enviar esta información a direcciones pertenecientes al autor del virus, utilizando uno de los siguientes servidores de correo Web:

mail.yahoo.com 
mail.hotmail.com 
mail.angelfire.com

De este modo, el gusano puede enviar estos mensajes, sin depender del software de correo instalado en la computadora infectada.

El gusano utiliza el software de AOL para propagarse, y se distribuye con alguno de los siguientes nombres:

Sofunny.exe 
Love.exe

Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

1. Primero, ejecute un antivirus al día, borrando los archivos (si existieran): Sofunny.exe, Love.exe, Msdos423.exe. Si es necesario, reinicie en Modo a prueba de fallos para este procedimiento, pulsando CTRL o F8 mientras se reinicia la computadora, para acceder al menú de inicio de Windows, y seleccionar "Modo a prueba de fallos".

2. Luego, use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

msdos423

5. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS