Es un simple BAT que borra todos los archivos de las unidades de disco: C:, A: y D:.El troyano utiliza el comando del DOS "DELTREE /Y" para borrar los archivos; intenta entonces borrar los archivos SIMPSONS.*, pero no hay más archivos en las unidades infectadas después de ejecutar el comando DELTREE.Este troyano es distribuido dentro de un paquete WinZip auto-extraíble el cual muestra un mensaje de WinZip estándar tras ser ejecutado. En ese momento extrae el troyano y lo descomprime.El primer reporte sobre este troyano data de junio del 2000. Sin embargo, su difusión no parece ser muy significativa ya que no se replica por sí mismo.
Variante: Veneno.A
VM/Veneno es un virus de macro de Word que se replica solamente con la versión en castellano de Word. Sus mecanismos de activación son muy variados, al igual que sus efectos destructivos.Al abrir un documento infectado el virus extiende la infección a la plantilla global, buscando varios nombres de macros para intentar borrarlos. A continuación, el virus infecta todos y cada uno de los documentos que se abran o graben.Sus mecanismos de activación, con sus efectos correspondientes son los siguientes:
Cuando el número de minutos es exactamente 30, el virus crea dos archivos temporales en el directorio C:\DOS y los utiliza para cargar el virus binario Glupak.847.D en el archivo C:\DOS\ATTRIB.COM.
Cuando el número de minutos es menor de 5 y es sábado o domingo, Veneno se activa insertando en el documento activo el texto: "** V>N>NO **.
Además, el virus cambia siempre que aparece "ste" con "stes", graba el documento con el password "Veneno" y lo cierra.
Al reiniciar Word o cuando se abre un documento, el virus remplaza tanto C:\CONFIG.SYS como C:\AUTOEXEC.BAT. De este modo, al reiniciar el sistema, aparecerá el mensaje:
Inserte un disco en la unidad A:Presione cualquier tecla para continuar...El virus intentará formatear el disco de la unidad A:. Si no puede, entonces intentará formatear las unidades C: y D:
Cuando se selecciona en el menú Archivo/Imprimir o Archivo/Vista preliminar y el número de segundos es superior a 57, el virus inserta las siguientes líneas al final del documento:
Finalmente me gustaría agregar que ...El Centro de computo de esta Universidad es una verdadera verguenza, >>> Shame on you!!! <<<
Por último, cuando se selecciona en el menú Archivo/Guardar como y el número de segundos es exactamente 36, el virus muestra el mensaje:Khelia Monica Salda~a D´iaz, me encantas y te sigo buscando... ¿Donde te has escondido? Atte. Tu enamorado. (LoVe90/91)Variante: Veneno.BWM/Veneno.B funciona igual que VM/Veneno.AVariante: Veneno.CWM/Veneno.C es una variante corrupta con ningún efecto salvo el mensaje cuando se selecciona Archivo/Guardar Como.
Alias: I-Worm/Navidad,W32/Emanuel. Fecha de aparición: se detectó a principios de enero del 2001.
Se trata de una variante peligrosa del Navidad con una modificación del attachment "Navidad.exe", substituido por "Emanuel.exe".
El proceso de propagación se realiza a través del correo electrónico, enviando mensajes a los remitentes de los mensajes que se encuentren sin leer en la bandeja de entrada. Cada uno de los estos mensajes incluirá un fichero adjunto con el nombre "Emanuel.exe" que contiene el gusano .
La infección se pone de manifiesto al aparecer en la pantalla un mensaje de "error" con un botón para "aceptar"; además, el gusano muestra un icono multicolor en la barra de tareas de Windows al lado de la hora. Si el usuario coloca el puntero sobre este icono aparecerá el mensaje "come on let's party". Por otro lado, si se pulsa el botón izquierdo del ratón aparecerá una ventana en la que se puede leer, "nunca presionar este botón", que al cerrarse dará paso al texto "May GOd bless u;D", con un botón para aceptar, que al ser pulsado cierra las ventanas de los mensajes anteriores, desapareciendo también el icono de la barra de tareas.
Si el usuario optaron por pulsar el botón "nunca presionar este botón", aparecerá el siguiente mensaje: "Emmanuel-God is with us! May god bless u.And Ash, Lk and LJ!!"
El virus se copia a sí mismo con el nombre WINTASK.EXE en el directorio C:Windows System; además crea varias claves en el registro de Windows que en el momento de su modificación provocarán que no se puedan ejecutar ficheros con extensión EXE.
No hay comentarios:
Publicar un comentario