Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans

Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Troj/Tellafriend. "ZeroPopUP" y su caballo de Troya
 
VSantivirus No. 954 - Año 7 - Domingo 16 de febrero de 2003

Troj/Tellafriend. "ZeroPopUP" y su caballo de Troya
http://www.vsantivirus.com/tellafriend.htm

Nombre: Troj/Tellafriend (ZeroPopUP)
Tipo: Caballo de Troya
Alias: ZeroPopup, Tellafriend trojan
Fecha: 14/feb/03
Tamaño: 135,168 bytes (ZeroPopUp), 6,176 bytes (Tellafriend)

Zero-PopUps es un software gratuito que permite detener todas las molestas ventanas POP-UPS (las ventanas que se abren al visitar ciertos sitios, generalmente con publicidad). El programa se integra al Internet Explorer como un objeto del tipo BHO (browser helper object).

Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados, en este caso interceptando las llamadas de Active Script que permiten la apertura de dichas ventanas.

En este caso, Zero-PopUps posee otra característica. Incorpora un software que actuando con técnicas similares a un código malicioso (Tellafriend trojan), envía un mensaje electrónico a todos los contactos de la libreta de direcciones de Windows (Windows Address Book) y de Eudora (Eudora Address Book).

El archivo es considerado un troyano, porque acciones como las descriptas no son inocentes, desde que no se da la oportunidad al usuario de informarse correctamente en la licencia de usuario final (EULA) de su sitio Web, del cometido del software a instalar, para aprobar o no su descarga.

Además, una vez instalado, mensajes como el siguiente, son enviados por el troyano, conteniendo cada uno como adjunto el propio troyano:

Asunto: Hi, i think you need this

Texto del mensaje:


Do you hate POPUPS ?? well i just installed this
free Zero POPUP toolbar on my browser, it kills
ALL popup ads and best of all it's FREE !
Download it from here http://www.zeropopup.com
(its a 10 seconds download with a 56k modem)

I hope you'll like it alot, it also has good
rating on CNET download.com

Bye :)

Cuando el usuario hace doble clic sobre el enlace indicado en el mensaje, es enviado a una página Web que contiene un control ActiveX. Este control es ejecutado (el control está firmado por una firma falsa o corrupta), mostrándose una ventana con el siguiente texto:

Security Warning

Warning: The authenticity of this content cannot be
verified, therefore it cannot be trusted.

Problem listed below:

The test root has not been enabled as a trusted root.

Do you want to install and run "PopUp Killer - Stops ALL
Popup Ads - Microsoft (R) Internet Explorer Toolbar"
signed on 2/13/03 2:33 PM and distributed by:

ZeroPopUp.Com

[    Yes    ] [    No    ] [ More info ]

Si se selecciona el botón [Yes], el instalador se ejecuta y los siguientes archivos son extraídos y copiados en el disco duro:

C:\Windows\System\tellafriend.exe
C:\Windows\System\zeropopup.inf
C:\Windows\System\Zeropopupbar.dll

El primer archivo, "tellafriend.exe" envía los mensajes similares al recibido, a todos los contactos de la libreta de direcciones del Outlook (Windows) y del Eudora (nndbase.txt), utilizando el servidor SMTP especificado en la configuración de la cuenta del usuario infectado.

La licencia final del usuario (EULA), describe estas acciones, incluyendo el cambio de la página de inicio del Internet Explorer, así como la página de búsqueda.

Note que basta el uso de un cortafuegos (como Zone Alarm), para interceptar el intento de conexión a Internet del archivo "zeropopupbar.dll".

Es importante hacer notar también, que el troyano se descarga solo después que el usuario acepta dicha acción, al visitar dicho sitio Web y confirmar la descarga y posterior instalación desde la opción YES.

Si bien la EULA existe en esa página (se reproduce a continuación), no se le pide al usuario su aprobación para la instalación del ejecutable mencionado anteriormente (inclusive luego de aprobar su descarga).

--- Acuerdo de licencia final original ---

END-USER LICENSE AGREEMENT FOR ZeroPopUp Companion ToolBar. 

IMPORTANT READ CAREFULLY: This ZeroPopUp Software End-User License Agreement is a legal agreement between you (either an individual or a single entity) and ZeroPopUp.COM software product identified above, which may include associated software components, media, printed materials, and "online" or electronic documentation (SOFTWARE PRODUCT or SOFTWARE). By installing, copying, or otherwise using the SOFTWARE PRODUCT, you agree to be bound by the terms of this End-User License Agreement. If you do not agree to the terms of this Agreement, do not install or use the SOFTWARE PRODUCT. The SOFTWARE PRODUCT is protected by copyright laws and international copyright treaties, as well as other intellectual property laws and treaties. The SOFTWARE PRODUCT is distributed for FREE. Multiple LICENSE. This is A multiple License which permits you to use any number of copies of the ZeroPopUp software on any computer you have. RESTRICTIONS: --You must maintain all copyright notices on all copies of the SOFTWARE PRODUCT. --You MAY distribute copies of the SOFTWARE PRODUCT to third parties. -- Each time you run the SOFTWARE PRODUCT you agree to have your IE search page set to our search engine, for the purpose of performing a web search. you may undo that anytime by uninstalling SOFTWARE PRODUCT and then restoring manualy your search page. --You also agree to have your Home Page changed to our search portal. --You agree SOFTWARE PRODUCT will email all your friends and contacts a short message with a link so they too can install SOFTWARE PRODUCT for FREE. --You may not reverse engineer, decompile, or disassemble the SOFTWARE PRODUCT, except and only to the extent that such activity is expressly permitted by applicable law notwithstanding this limitation. ZeroPopUp.COM SOFTWARE DISCLAIMS ALL WARRANTIES RELATING TO THIS SOFTWARE, WHETHER EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE, AND ALL SUCH WARRANTIES ARE EXPRESSLY AND SPECIFICALLY DISCLAIMED. NEITHER zeropopup.com NOR ANYONE ELSE WHO HAS BEEN INVOLVED IN THE CREATION, PRODUCTION, OR DELIVERY OF THIS SOFTWARE SHALL BE LIABLE FOR ANY SPECIAL, INCIDENTAL, INDIRECT, OR CONSEQUENTIAL DAMAGES WHATSOEVER (INCLUDING, WITHOUT LIMITATION, DAMAGES FOR LOSS OF BUSINESS PROFITS, BUSINESS INTERRUPTION, LOSS OF BUSINESS INFORMATION, OR ANY OTHER PECUNIARY LOSS) ARISING OUT OF THE USE OF OR INABILITY TO USE THE SOFTWARE PRODUCT, EVEN IF zeropopup.com HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES OR CLAIMS. IN NO EVENT SHALL zeropopup.com SOFTWARE'S LIABILITY FOR ANY DAMAGES EVER EXCEED THE PRICE PAID FOR THE LICENSE TO USE THE SOFTWARE, REGARDLESS OF THE FORM OF CLAIM. THE PERSON USING THE SOFTWARE BEARS ALL RISKS AS TO THE QUALITY AND PERFORMANCE OF THE SOFTWARE. 

--- Final del Acuerdo de licencia final ---

Las partes importantes, donde se avisa de las acciones del programa son las siguientes:

1. Se advierte que de aceptar su uso, el programa cambiará la página de búsqueda

Each time you run the SOFTWARE PRODUCT you agree to have
your IE search page set to our search engine, for the
purpose of performing a web search. you may undo that

2. Igual, pero sobre la página de inicio del Internet Explorer

You also agree to have your Home Page changed to our search
portal.

3. Finalmente, se advierte que se enviará "a todos sus amigos y contactos un corto mensaje con un enlace para instalar el software.

You agree SOFTWARE PRODUCT will email all your friends
and contacts a short message with a link so they too can
install SOFTWARE PRODUCT for FREE.

Por su parte, "Zeropopupbar.dll" es un objeto del tipo BHO (browser helper object), como ya vimos. Este software también modifica la página de búsqueda y de inicio del Internet Explorer, tal como se advertía en la EULA.

Se copia en el sistema en el directorio System:

C:\Windows\System\Zeropopupbar.dll

Modifica entonces el registro, creando las siguientes entradas:

HKCU\Software\Microsoft\Internet Explorer\MenuExt
\&Sample Toolband Serach

HKCR\Software\zeropopup

HKCR\CLSID\{72A58725-2635-4725-8C53-676DFD1FEB8D}

HKCR\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}

HKCR\ToolBand.ToolBandObj

HKCR\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}

HKLM\Software\Microsoft\Code Store Database
\Distribution Units\{72A58725-2635-4725-8C53-676DFD1FEB8D}

El BHO es registrado en la siguiente rama del registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\explorer\Browser Helper Objects

La aplicación agrega una barra de herramientas en el Internet Explorer:

ZeroPopUps agrega una barra de herramientas en el Internet Explorer

Cambia la página de inicio del Internet Explorer por la siguiente:

http://www.znext.com


Reparación manual


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Panel control, Agregar o quitar programas, desinstale el software "ZeroPopUps".

Borre las siguientes librerías:

C:\Windows\System\tellafriend.exe
C:\Windows\System\zeropopup.inf
C:\Windows\System\Zeropopupbar.dll

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

18/feb/03 - SpywareBlaster previene la instalación de Troj/Tellafriend.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS