Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
BotVoice.A realiza las siguientes acciones:
- Una vez ha afectado el ordenador, se escucha la siguiente frase de manera continua
You have been infected I repeat You have been infected and your system files has been deleted. Sorry. Have a Nice Day and bye bye
Si desea escuchar la frase que repite BotVoice.A continuamente, pulse aquí. - Impide utilizar el ordenador con normalidad, ya que no permite la ejecución de los archivos que tengan las siguientes extensiones:
BAT
COM
EXE
HTML
JS
MP3
PIF
VBS - Deshabilita las siguientes aplicaciones:
- Administrador de Tareas.
- Editor del Registro de Windows.
Metodo de Infección
BotVoice.A elimina los siguientes archivos:
- todos los archivos de la unidad C: hasta que se encuentre con alguno que no pueda borrar, bien porque está protegido o bien porque está siendo utilizado.
- los accesos directos (extensión LNK) del Escritorio y de Mis Documentos.
BotVoice.A crea las siguientes entradas en el Registro de Windows :
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows.
BotVoice.A modifica las siguientes entradas del Registro de Windows:
- HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
(Default) = :: Win32\Hira.A - eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA :: - HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
(Default) = :: Win32\Hira.A - eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA :: - HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
(Default) = :: Win32\Hira.A - eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA :: - HKEY_CLASSES_ROOT\ htmlfile\ shell\ open\ command
(Default) = C:\Program Files\Internet Explorer\iexplore.exe -nohome
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ htmlfile\ shell\ open\ command
(Default) = :: Win32\Hira.A - eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA :: - HKEY_CLASSES_ROOT\ JSFile\ Shell\ Open\ Command
(Default) = %SystemRoot%\System32\WScript.exe "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ JSFile\ Shell\ Open\ Command
(Default) = :: Win32\Hira.A - eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA :: - HKEY_CLASSES_ROOT\ mp3file\ shell\ open\ command
(Default) = C:\Program Files\Windows Media Player\wmplayer.exe /Open %L
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ mp3file\ shell\ open\ command
(Default) = :: Win32\Hira.A - eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA :: - HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
(Default) = Win32\Hira.A - eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA :: - HKEY_CLASSES_ROOT\ VBSFile\ Shell\ Open\ Command
(Default) = %SystemRoot%\System32\WScript.exe "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ VBSFile\ Shell\ Open\ Command
(Default) = :: Win32\Hira.A - eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA ::
Mediante estas modificaciones, BotVoice.A impide que se puedan ejecutar archivos con las siguientes extensiones:
BAT, COM, EXE, HTML, JS, MP3, PIF y VBS.
Método de Propagación
BotVoice.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
BotVoice.A está escrito en el lenguaje de programación Visual Basic v5. Este troyano tiene un tamaño de 20992 Bytes y está comprimido mediante AsPack.
>