Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

TrojanDownloader.Tivso.R. Descarga al gusano Mocalo
 
VSantivirus No. 2085 Año 10, sábado 25 de marzo de 2006

 TrojanDownloader.Tivso.R. Descarga al gusano Mocalo
http://www.vsantivirus.com/trojandownloader-tivso-r.htm

Nombre: TrojanDownloader.Tivso.R
Nombre NOD32: JS/TrojanDownloader.Tivso.R
Tipo: Caballo de Troya
Alias: Tivso.R, JS.Feebs.Gen, JS.Feebs.Y, JS.KMax.S.Gen, JS/Feebs.fam-mm, JS/Feebs.gen.f@MM, Js/Ider.A.worm, JS/TrojanDownloader.Tivso.R, JS:Feebs, Trojan-Downloader.JS.Feebs, W32.Feebs, W32/Feebs-Fam, Win32.HLLM.Graz, Worm.Feebs, Worm.JS.Feebs.based, Worm.Win32.Feebs.DR, Worm.Win32.Feebs.gen, Worm/Feebs
Fecha: 21/mar/06
Actualizado: 23/mar/06
Plataforma: Windows 32-bit
Tamaño: 3,173 bytes

Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA, con uno de los siguientes nombres:

Secure Html File.hta
Protected Mail File.hta

Se envía como adjunto (.ZIP), en forma de spam masivo, o es propagado por el Win32/Mocalo, vía correo electrónico.

El código en JavaScript descarga de Internet el componente principal de otras variantes del gusano. También puede encontrarse como página HTML en ciertos sitios maliciosos.

El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres:

c:\command.exe
c:\recycler\userinit.exe

NOTA: No confundir con C:\COMMAND.COM

Este componente, intentará eliminar las siguientes entradas del registro:

HKLM\SYSTEM\CurrentControlSet\Services\FirePM
HKLM\SYSTEM\CurrentControlSet\Services\KmxFile
HKLM\SYSTEM\CurrentControlSet\Services\pcipim
HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC
HKLM\SYSTEM\CurrentControlSet\Services\RapDrv

Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft
\Active Setup\Installed Components
\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
Stubpath = "[nombre del ejecutable]"

También puede copiarse en la carpeta de inicio común para todos los usuarios, la cuál puede ser una de las siguientes, según el sistema operativo instalado:

* Windows XP, 2000 (español e inglés)

c:\documents and settings
\all users\menú inicio\programas\inicio

c:\documents and settings
\all users\start menu\programs\startup

* Windows 95, 98, Me (español e inglés)

c:\windows\all users\menú inicio\programas\inicio

c:\windows\all users\start menu\programs\startup


Más información e instrucciones de limpieza:

Mocalo. Utiliza e-mail y P2P, deshabilita firewall
http://www.vsantivirus.com/mocalo.htm






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS