Nuevo troyano de Internet que sobreescribe la información. Ya controlado desde los DAT diarios (SDATdaily.EXE)

Nombre de virus: W32/HideDoc.worm
Alias conocidos: Win32.HideDoc, Win32/HideDoc.Trojan
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero .EXE
Propagación: Por descarga del usuario
Detección: a partir de SDATdaily actual
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Un nuevo troyano altamente destructivo detectado en México ya ha llegado ha España. Este troyano no dispone de un método de autopropagación, por tanto el riesgo infección queda limitado a la ejecución del mismo por el usuario. Puede distribuirse como una utilidad o broma a través de redes como KaZaa o por correo electrónico, o grupos de noticias, o IRC, etc. cualquier método de descarga.

Cuando el usuario ejecuta el fichero, el troyano realiza tres acciones:

Primero se copia en el directorio de Windows.

Segundo modifica el registro de sistema para que en cada reinicio de Windows se cargue automáticamente (el nombre del fichero que incluye en dicha clave varia según el nombre que tenga el troyano).

Tercero, el troyano crea también dos archivos de datos: STDOLE.DLL y STPRINT.OCL, los cuales copia a la carpeta Windows.

El fichero STDOLE.DLL captura la ruta de Winword.exe y el STPRINT.OCL es un contador que aumenta cada 5 minutos.

Cada vez que el contador aumenta, el troyano busca en la unidad "A:" archivos con extensión .DOC, y en caso afirmativo hace una copia de si mismo con el nombre del documento, pero con extensión .EXE, y el archivo .DOC original le modifica el atributo a oculto (+H)

El fichero .EXE creado lo presenta con un icono de word, para que el usuario no detecte nada y lo ejecute sin sospechar.

Cuando el contador llega a 276 (23 horas), el troyano sobrescribirá todos los documentos del sistema con el siguiente contenido:

"Virus LourdesHRA atacó esta computadora, Feliz 2003
y Disculpen las molestias que este ocaciona"
"Maldito Xp pero me vengaré, desastre al 100% menos Xp"

El ejecutable del troyano contiene la siguiente descripción:

Es para felicitar a todos los infectados aunque no creo
que les guste. LHRA corporation se deslinda del mal uso
que se le de a este programa y lo que pueda hacer, no se
hace responsable de este, ni por los deztrozos ca.

Copiright 2003 felitz Año Nwebo k' Prodrama tien portento
Metzikno putos, ah y tambien feliz navidad

Para su correcta eliminación antes de la activación, ejecutar LIMPIA.EXE ó LIMPIANT en sistemas basados en Tecnologia NT

SATINFO, VIRUSCAN SPAIN SERVICE Barcelona, 21 Marzo 2003

Anterior