Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Troj/Down.Small.CZ. Descarga y ejecuta Mimail.P
 
VSantivirus No. 1288 Año 8, viernes 16 de enero de 2004

 Troj/Down.Small.CZ. Descarga y ejecuta Mimail.P
http://www.vsantivirus.com/troj-down-small-cz.htm

Nombre: Troj/Down.Small.CZ
Tipo: Caballo de Troya (downloader)
Alias: Win32/Small.CZ, Troj/Mmdload-A, TrojanDownloader.Win32.Small.cz, Win32/Small.MB, Win32.Pap.A, Downloader.Mimail.B, Downloader-GN, Downloader.Mimail.B, TrojanDownloader.Win32.Small.cz, Win32.Pap.A!downloader, Win32/Mimail.P.Downloader.Trojan, Download.Trojan, Trj/Downloader.AC, TROJ_DOWNLDSM.CZ
Fecha: 15/ene/04
Tamaño: 2,592 bytes
Plataforma: Windows 32-bit

Caballo de Troya escrito en Microsoft Visual C, y comprimido con la herramienta UPX, que descarga y ejecuta al gusano W32/Mimail.P desde Internet.

No posee mecanismo de propagación, y los reportes recibidos indican que fue distribuido en forma de spam, a una gran cantidad de usuarios, en la mañana del 15 de enero de 2003, como adjunto, en un mensaje con estas características:

De: do_not_reply@paypal.com <do_not_reply@paypal.com>
Asunto: PAYPAL.COM NEW YEAR OFFER

Texto del mensaje:

** GREAT NEW YEAR OFFER FROM PAYPAL.COM **


Dear PayPal.com Member,

We here at PayPal.com are pleased to announce that we have a special New Year offer for you! If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10 percent of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)! 

If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus! If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created. 

That's not all! If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus. If you are one of these 1000 lucky members then PayPal will add 17 percent of your total balance to your account! 

Registration is simple. Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided. If you have problems opening the application then you may want to try downloading a free version of WinZip from http://www.winzip.com 

Do not miss your chance at this fantastic opportunity! Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer! 

Best of luck in the New Year,


Datos adjuntos: paypal.exe (2Kb)


Cuando se ejecuta el adjunto, el troyano descarga de Internet (y luego ejecuta), el siguiente archivo:

http://www.aquarium-fish.ru/ppapp.bin

Actualmente, la cuenta en este sitio de origen ruso, ya ha sido dada de baja:

Error 9387: account is not active

El archivo PPAPP.BIN es el gusano W32/Mimail.P.

El troyano guarda PPAPP.BIN con el siguiente nombre, y luego lo ejecuta:

c:\tmp.exe

No produce ningún otro cambio en el sistema, ni tiene capacidad de autoejecución.

Requiere la acción directa del usuario damnificado para activarse (doble clic sobre el archivo).

Como siempre, se recomienda no pinchar sobre enlaces que sean ofrecidos en mensajes no solicitados (esto incluye tarjetas de saludos, etc.).

Tampoco abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Para quitar el troyano/gusano/virus de su sistema, solo reinicie su computadora y luego borre el ejecutable mencionado.

NOTA: Si ejecutó este archivo adjunto, podría estar infectado con el gusano W32/Mimail.P. Más información:

W32/Mimail.P. Archivo adjunto: "pp-app.zip"
http://www.vsantivirus.com/mimail-p.htm


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

16/ene/04 - Alias: Trj/Downloader.AC
19/ene/04 - Alias: TROJ_DOWNLDSM.CZ



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS