| Nombre: |
PHC2002_TROYANO |
|
Variantes y Alias: |
TROJAN_PHC, PHC, PHC2002.EXE,
Trojan/W32.PHC (Panda), Trojan.Win32.Killav.l (AVP), AVKill-J (Mcafee),
Troj/KillAV-C (Sophos) |
| Tipo: |
Troyano |
| Tamaño: |
Varía |
| Origen: |
Perú |
| Destructivo: |
SI |
| En
la calle (in the wild): |
NO |
| Detección
y eliminación: |
The Hacker 5.3 al 21/08/2002 tiene
todas las variantes conocidas |
PHC2002_TROYANO y variantes son troyanos DAÑINOS reportados en Perú
hace algunos meses, hay varias variantes conocidas, las últimas variantes son
detectadas como PHC2002_TROYANO por The Hacker 5.3. El troyano ha sido escrito
por un grupo de creadores de virus Peruanos conocidos como PHC.
Al igual que otros virus como W32/Bandera que atacan a los antivirus McAfee,
Panda, AVP y Per el troyano PHC2002_TROYANO y sus variantes tienen como único
objetivo atacar a The Hacker.
Cada una de las variantes tiene características específicas y están escritas igualmente
para versiones específicas del antivirus, entre sus múltiples acciones podemos
indicar:
- Modificación de los procesos del antivirus en Memoria vía API de
Windows (CreateProcess,
WriteProcessMemory, etc): Hay diferentes variantes que realizan tal
acción, cada versión del troyano es específica a una versión del antivirus, si
el troyano se ejecuta en una versión para la cual no está programado colgará
el proceso del antivirus.
- Sobreescribe el Virus Scanner Engine (th32.dll): El troyano
sobreescribe esta librería DLL para evitar su detección, igualmente si el
troyano encuentra una DLL para el cual no está programado aparecen mensajes de
error de Windows en la librería afectada..
- Sobreescribe las librerías de búsqueda (th32eng.dll, th32mac.dll, etc): Las últimas
versiones del troyano atacan este archivo para evitar su detección, el troyano
sobreescribe algunas areas en la librería de búsqueda, los resultados podrían
variar desde cuelgues hasta mal funcionamiento del antivirus. Al igual que en
los puntos anteriores el troyano es específico a una versión.
- Sobreescribe el registro de virus (thact.dat, etc): En
algunas variantes, este troyano "corta a la mitad" el archivo thact.dat
tratando de evitar su detección, por ejemplo si el archivo thact.dat mide 20Kb
después de ser atacado por el troyano mide 10Kb. En la siguiente ejecución del
antivirus The Hacker notará que el archivo de registro thact.dat está corrupto,
emitirá un mensaje de error y no correrá.
El código fuente de las últimas variantes del troyano han sido difundidas en
websites de creación de virus por lo que su modificación es inminente, pudiéndose
encontrar en el futuro variantes con nuevas características incluso más
dañinas, borrado de archivos del usuario, ataque a otros antivirus o programas,
etc.
Derechos reservados 1992/2002
HackSoft S.R.L. Lima-Perú
