TROJ_DOAL, de propagación masiva. Borra archivos del sistema dejándolo inutilizable.  

© Jorge Machado  Lima-Perú

TROJ_DOAL 

DOAL es un troyano reportado el 02 de Julio del 2002, que simula ser un Generador de Llaves de Microsoft XP Home Edition y que se propaga entre los usuarios de la red que comparten los servicios de la red Kazza y Morpheus, en un archivo de nombre Load.exe, de 305 KB de extensión, programado en Visual C++, el cual se encuentra empaquetado con el software de instalación denominado Vise:

http://www.mindvision.com/consulting/default.asp

Este gusano tiene un formato PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Las redes compartidas de Kazza y Morpheus son muy populares, ya que permiten descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea. Para ello es necesario instalar en el sistema, sus respetivos software propietarios, los mismos que abren en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos, a través de las siguientes instrucciones:

telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 2467
Accept-Ranges: bytes
Date: Tue, 02 Jul 2002 14:14:36 GMT
Server: KazaaClient Jul 2 2002 17:18:29
Connection: close
Last-Modified: Sun, 30 Jun 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html

Para infectar esta red, el autor debe tener instalado el software propietario, luego conectarse a cualquiera de estos servidores web y ejecutar el archivo infectado, con lo cual también infectará el equipo que esté usando y que asumimos sea uno ajeno (cabina pública, estación de trabajo de un centro laboral o de estudios, etc.) 

Cuando el archivo infectado es ejecutado el troyano crea las siguientes carpetas:

C:\Program Files\Windows XP Home Keys
C:\Program Files\Common Files\Software

Luego crea además los siguientes archivos:

 C:\Program Files\Windows XP Home Keys\Windows XP Home Edition Serials.diz de 499 bytes y que es un archivo de texto que contiene cadenas ASCII que identifican el formato de los números de serie del registro de cada sistema operativo específico.
 C:\Program Files\Common Files\Software\Load.exe, de 312,606 bytes.

Para ser ejecutado la próxima vez que se inicie el sistema el troyano modifica la llave del registro de Windows:

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Microsoft Tasks ="C:\Program Files\Common Files\Software\Load.exe"

A su vez reemplaza el icono del MS-DOS por el siguiente gráfico:

La siguiente vez que se reinicie el sistema, el archivo infectado Load.exe será ejecutado y mostrará la siguiente caja de diálogo:

Al hacer click en el botón "Yes" su payload consistirá en borrar los siguientes archivos del sistema, dejándolo inutilizable:

Win.com, Autoexec.bat y una variedad de archivos con extensión .DLL de la carpeta C:\Windows\System.

PER ANTIVIRUS® versión 7.5 con registro de virus al 02 de Julio del 2002 detecta y elimina eficientemente este troyano y sus variantes, ya que nada impediría que sea renombrado. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS