Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I-Worm.Trood. Sus aplicaciones se van... se van... se fueron
 
VSantivirus No. 197 - Año 5 - Domingo 21 de enero de 2001

Nombre: I-Worm.Trood
Tipo: Gusano de Internet
Tamaño: 10 Kb (aprox.)
Fecha: 10/ene/01

Es un gusano de Internet que se propaga a través de un archivo llamado TCPIPUPD.EXE, adjunto a un e-mail (simula ser una actualización de los protocolos TCP/IP). El código del virus en si mismo es un ejecutable .EXE de unos 10 Kb. Solo infecta Windows 95/98 y Me.

Si ejecutamos dicho adjunto (doble clic sobre él), el gusano se instala en nuestro sistema, y muestra un mensaje falso para esconder su actividad (el mensaje nos hace creer que la supuesta actualización no es necesaria en nuestro equipo):

Windows TCP/IP Update
The system doesn't need an update.
Latest version of TCP/IP already present.
[   OK   ]

A partir de allí, el gusano es capaz de permanecer residente en memoria, como una aplicación oculta (un servicio). Veremos más adelante como hace esto (utiliza un método diferente al de la mayoría).

También copia parte de su código en el directorio C:\WINDOWS\SYSTEM, haciéndolo pasar por un driver (.VXD).

El gusano se engancha a las funciones denominadas TDI (Transport Driver Interface), que son responsables de la conexión y envío de datos. Esto hace que este virus no dependa de ningún programa de correo en especial para propagarse. También se engancha a los protocolos de transporte (similar a como lo hacen los cortafuegos para monitoreo).

A partir de allí, el gusano intercepta todos los mensajes que son enviados por el protocolo SMTP. Si un mensaje no posee adjuntos, entonces le agrega su propio código como adjunto, usando el nombre TCPIPUPD.EXE.

Para obligar que Windows ejecute el gusano en cada reinicio del sistema operativo, el virus se copia al directorio C:\WINDOWS\SYSTEM con el nombre de SYSTRAY.EXE, renombrando al verdadero como SYSTRAY.SYS, ya que este archivo realmente existe (es la Aplicación "Bandeja de sistema", donde aparece la hora, el parlante del control de volumen, etc.) y se ejecuta siempre al comienzo de Windows.

Como mientras Windows se está ejecutando, el archivo original no puede ser modificado (permanece bloqueado para escritura), el virus genera una entrada en el archivo WININIT.INI para que en un próximo reinicio de Windows, el cambio sea hecho satisfactoriamente.

De este modo, cada vez que se inicia Windows, se ejecuta el archivo SYSTRAY.EXE (el virus), el cuál luego ejecuta al verdadero SYSTRAY que ahora se llama SYSTRAY.SYS, no alterando el funcionamiento de Windows.

El gusano posee una rutina maliciosa que hace que los sábados, la ventana de cualquier aplicación activa, se deslice en forma muy lenta, hacia una dirección al azar, fuera de los límites del escritorio de Windows (puede desaparecer de nuestro monitor).

Además, a los cinco minutos de iniciarse Windows, finaliza este, sin nuestro consentimiento, provocando a veces la perdida de documentos no guardados (esto pasa durante todos los días sábado de cualquier mes).

El gusano contiene el siguiente texto:

I-Worm.Win9X.Troodon v1.0 Project
Developed by Clau.

Para limpiarlo manualmente

Como la utilidad SYSTRAY.EXE no puede ser borrada ni modificada desde Windows, usted deberá seguir estos pasos para poder recuperarla.

1. Inicie su computadora desde un disquete de inicio (Windows 95, 98 y Me), o en modo "Sólo símbolo del sistema" (pulsando F8 o CTRL al arrancar su computadora en Windows 95 y 98).

2. Teclee cuidadosamente las siguientes instrucciones, respetando los espacios donde los haya, y pulsando Enter al final de cada línea:

del c:\windows\system\systray.exe

ren c:\windows\system\systray.sys c:\windows\system\systray.exe

3. Reinicie la computadora e ingrese a Windows (si usó un disquete, retírelo de la disquetera antes de resetear su PC).

4. Vaya a Inicio, Buscar, Archivos o carpetas. Escriba en "Nombre:" lo siguiente:

TCPIPUPD.EXE

5. Si aparece, bórrelo (botón derecho, eliminar)

6. Vacíe la papelera de reciclaje (en el escritorio, clic sobre el icono "Papelera de reciclaje", Archivo, Vaciar la papelera de reciclaje).

7. Ejecute un antivirus al día y elimine los archivos que se indiquen infectados.

Fuente: Kaspersky

 

Copyright 1996-2001 Video Soft BBS