Jesus GT: /* Fuentes */

2014-02-26T04:00:58Z

‎Fuentes

Morales11012: Página creada con '{{Definición |nombre= Trojan.VBS.TPT |imagen= |tamaño= |concepto=Virus informático que baja el rendimiento del equipo y crea un proceso "wscript.exe" que se ejecuta aunq...'

2014-02-26T03:46:35Z

Página creada con '{{Definición |nombre= Trojan.VBS.TPT |imagen= |tamaño= |concepto=Virus informático que baja el rendimiento del equipo y crea un proceso "wscript.exe" que se ejecuta aunq...'

Página nueva

{{Definición
|nombre= Trojan.VBS.TPT
|imagen=
|tamaño=
|concepto=[[Virus]] informático que baja el rendimiento del equipo y crea un proceso "wscript.exe" que se ejecuta aunque el usuario no utilice VBS, tiene un tamaño aproximado de 10 kb.
|lanzamiento inicial= [[25 de marzo]] de [[2008]].
}}<div align=justify>

Debido al auge de Internet los creadores de virus han encontrado una forma de propagación masiva y espectacular de sus creaciones a través mensajes de [[correo electrónico]], que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión *.VBS (''Visual Basic Scripts'').
==Síntomas==
Existencia del archivo ''autorun.inf'' (cuya la primera línea contiene el texto ''forgiveme'') en el directorio raíz de los discos extraíbles, junto con el archivo ''information.vbs''.

Existencia del siguiente valor en el registro: ''HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run -> "Explorer"'' que apunta al archivo: ''%system32%\.vbs'' (dónde ''%system32%'' normalmente corresponde a ''C:\Windows\system32''

Existencia de los siguientes archivos:
''%system32%\.uce''
''%system32%\.pif''
''%system32%\.reg''
''%system32%\.vbs''

Bajo rendimiento del equipo y un proceso ''wscript.exe'' que se ejecuta aunque el usuario no utilice ''VBS''. Cabe mencionar que este proceso no pertenece al [[malware]], pero puede ser un síntoma de infección si se encuentra en ejecución aunque no se utilice ningún [[script]].
==Descripción técnica==
Este script escrito en [[Visual Basic Script]] (''VBS'') provoca la ejecución del proceso ''wscript.exe'', un proceso legítimo del [[sistema operativo]]. El [[virus]] actúa como un [[gusano]].

Al principio, elimina todos los archivos o [[carpetas]] que tienen la misma ruta que los archivos creados por el gusano. Tiene una función que oculta (cambia los atributos del archivo a oculto) los archivos a la vista del usuario. Esto se realiza mediante el archivo original que ejecuta el usuario.

A continuación, se copia a sí mismo en la carpeta del sistema operativo (''Windows\system32'') con el nombre ''.vbs'' y crea los siguientes archivos:
''%System32%\.reg'' donde crea la siguiente claves en el registro utilizando [[regedit]].exe.''Windows Registry Editor Version 5.00''

''[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]"ShowSuperHidden"=dword:00000000''

Con esto oculta al usuario los archivos del sistema, mientras explora el contenido de los [[discos duros]].
''%System32%\.uce'' que parece un archivo [[''autorun.inf'']] habitual que encontrará en el directorio raíz de todos los [[discos extraíbles]] y se utiliza ejecutar el gusano y propagar la infección a otros equipos.

''forgiveme''

''[autorun]''
''open=wscript.exe information.vbs''

''shell\open\Command=wscript.exe information.vbs''
''shell\find\Command=wscript.exe information.vbs''
''shell\open\default=1''

''%System32%\.pif'' que almacena la fecha en la que se ha producido la infección.

''%System32%\.vbs'', una copia del malware oculta a los ojos del usuario.

Infecta dispositivos extraíbles copiando el archivo ''%System32%\.uce'' en el directorio raíz de éstos con el nombre ''autorun.inf'', a la vez que copia el script original bajo el nombre ''information.vbs''. Acto seguido, comprueba que el autorun existente comience con el texto ''forgiveme'' a la vez que comprueba la integridad del script: la primera línea debe contener el texto ''xiao1''.

Descarga archivos desde: '''http://?xx3.cn/''', los guarda en la carpeta de archivos temporales con el ''nombre .pif'' y los ejecuta como ''.pif.exe''.

Crea tareas de Windows para que el gusano y los archivos descargados se ejecuten periódicamente cada determinado tiempo. Crea esta clave en el registro: ''HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run con "Explorer"'', que provoca la ejecución del malware al arrancar el sistema.
==Instrucciones de limpieza==
Analice sus archivos con un antivirus actualizado para desinfectarlos.

==Fuentes==
* [[http://eduardo-mejia-sexto-a.blogspot.com/2012/09/30-tipos-de-virus-de-computadora.html#!/2012/09/30-tipos-de-virus-de-computadora.html]]
* [[http://www.bitdefender.com]]

[[Category:Informática]]
[[Category:Virus_informáticos]]

@@ Línea 56: / Línea 56: @@
 ==Fuentes==
-* [[http://eduardo-mejia-sexto-a.blogspot.com/2012/09/30-tipos-de-virus-de-computadora.html#!/2012/09/30-tipos-de-virus-de-computadora.html]]
+*[http://eduardo-mejia-sexto-a.blogspot.com/2012/09/30-tipos-de-virus-de-computadora.html#!/2012/09/30-tipos-de-virus-de-computadora.html eduardo-mejia-sexto-a.blogspot.com]
-* [[http://www.bitdefender.com]]
+*http://www.bitdefender.com
 [[Category:Informática]]
 [[Category:Virus_informáticos]]

Virus Trojan.VBS.TPT - Historial de revisiones

Jesus GT: /* Fuentes */

Morales11012: Página creada con '{{Definición |nombre= Trojan.VBS.TPT |imagen= |tamaño= |concepto=Virus informático que baja el rendimiento del equipo y crea un proceso "wscript.exe" que se ejecuta aunq...'