Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

SadCase.Trojan. Falso parche de un juego, borra el C:
 
VSantivirus No. 297 - Año 5 - Martes 1 de mayo de 2001

Nombre: SadCase.Trojan
Tipo: Caballo de Troya
Alias: Win32.Sadcase, Trojan.BAT.Lol
Tamaño: 102,400 bytes
Destructivo: Si
Reportado activo: Si
Fecha: 26/abr/01

SadCase, es un troyano de acción directa (se activa cuando el usuario lo ejecuta, suponiendo se trata de un parche para el juego "Counter Strike"), que intenta borrar todos los archivos de la unidad C. Se trata de un archivo en formato PE (ejecutable Win32), escrito en Visual C++.

En el momento que se ejecuta, el troyano muestra esta ventana de mensajes:

Counter-Strike Client-Side GodMode

Counter-Strike Client-Side Godmode (position modifier).
Makes the server think you are 99999 units above where
you actually are, so you can't get shot.

By Nopcode - Btw: Chazz
cant't hack.

[   Activate   ]

Si se pulsa sobre el botón [ Activate ], se despliega otro mensaje con las siguientes características:

Godmode

Patch Successful!

[ Aceptar ]

Sea o no pulsado ese botón, el troyano ejecuta este comando:

deltree /y c:/

Esta orden comienza a borrar todos los archivos en la unidad C. Luego de ello el troyano crea los siguientes archivos:

C:\WINDOWS\Menú Inicio\Programas\Inicio\Owned.bat
C:\autoexec.bat

Si alguno de ellos existe, es reemplazado. Estos archivos pueden ser borrados también por el comando anterior. Ambos son idénticos, y si se ejecutan, muestran el siguiente mensaje:

Lol, the format continues!
You piss me off, now I piss you off!

Y luego de ello, también ejecutan este comando:

deltree /y c:/

Finalmente, el troyano muestra dos ventanas más de mensajes:

That sucks...

Your harddrive is being deleted as you read this.
Go ahead and look at it! ROFL

[   Aceptar   ]

Y luego:

Owned by the l337

I suppose I could give you a hint as how to stop this,
shutoff your system ASAP to salvage whatever
is left of it. Have fun re-installing windows!

[   Aceptar   ]

Es interesante notar lo dañino que puede ser este troyano. Si por alguna razón el usuario interrumpe la ejecución de la acción destructiva en el primer intento (pulsando el botón de POWER en el gabinete por ejemplo), la copia de los archivos AUTOEXEC.BAT y en algunos casos OWNED.BAT, podrían hacer que esta acción se volviera a iniciar, siempre que otros archivos importantes de Windows no hayan sido aún borrados. De cualquier modo, las probabilidades que Windows no vuelva a iniciarse (y aún que no se pueda arrancar desde la unidad C), son bastantes grandes, debiéndose necesariamente, optar por una reinstalación total del sistema.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo (en este caso, pensando se trata de un parche para un conocido juego).

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Fuente: Computer Associates, Trend Micro, Network Associates, Symantec.
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS