Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

El PKZIP300 se distribuye como un archivo autoextraíble denominado PKZ300B.EXE, 178981 bytes de longitud.

Este archivo contiene cinco archivos, luego de extraerlos son:



nombre de archivo len ¿qué es eso?

——– —- ————

PKZINST.EXE 5328 este es un programa troyano real

WHATSNEW.300 2417 WhatsNew de PkZip 2.04c, 2.04c reemplazado con 3.0

COMPRESS.000 124005 ARJ 2.41, más bytes adicionales

COMPRESS.001 116260 ARJ 2.41

FILE_ID.DIZ 101 DOC archivo, anuncia que como Pkzip 3.0b.

Solo hay un archivo que es el troyano: PKZINST.EXE. Fue escrito en Turbo-Pascal. Al ser ejecutado, muestra el mensaje:



Utilidad de instalación de PKZIP (R) Versión 3.00b 4-05-950

Copr. 1989-1995 Pkware Inc. Todos los derechos reservados.

Pkzip Reg. Patente de los Estados Unidos y Tm. Apagado.

Inicializando, esto puede tomar unos minutos ….

y ejecuta dos comandos:



COMMAND.COM / C Formato c:> NULL

COMMAND.COM / C deltree / yc:> NULL

Afortunadamente, el autor de ese troyano no tiene suficiente conocimiento de la computadora, y el primer comando simplemente espera la confirmación del DOS:



ADVERTENCIA: TODOS LOS DATOS EN DISCO NO EXTRAÍBLE

UNIDAD C: ¡SE PERDERÁ!

Proceda con Formato (S / N)?

Esta solicitud puede finalizar con restablecimiento o con Ctrl-C / Break. En ambos casos, el troyano finaliza sin dañar los datos. En el caso de Ctrl-C solo informa los usos:



Gracias por esperar, idiota. No deberías haber follado con nosotros.

y vuelve a DOS.

Hay un error más en ese troyano: la redirección "> NULL" crea el archivo NULL en el directorio actual, para deshabilitar cualquier mensaje que el autor del virus haya tenido que escribir "> NUL".

Veo que el autor del virus aprende el DOS página por página en orden alfabético, sabe cómo usar los comandos que comenzaron con "D" y "F", pero todavía no ha llegado a las instrucciones "N" (nulo) mientras leyendo su Guía de Usuario de DOS.

AVP detecta ese troyano con el nombre "Trojan.PKZ300b" en el archivo ejecutable extraído, así como en el archivo autoextraíble.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Trojan
Plataforma	Win32
Descripción	Detalles técnicos El PKZIP300 se distribuye como un archivo autoextraíble denominado PKZ300B.EXE, 178981 bytes de longitud. Este archivo contiene cinco archivos, luego de extraerlos son: nombre de archivo len ¿qué es eso? ——– —- ———— PKZINST.EXE 5328 este es un programa troyano real WHATSNEW.300 2417 WhatsNew de PkZip 2.04c, 2.04c reemplazado con 3.0 COMPRESS.000 124005 ARJ 2.41, más bytes adicionales COMPRESS.001 116260 ARJ 2.41 FILE_ID.DIZ 101 DOC archivo, anuncia que como Pkzip 3.0b. Solo hay un archivo que es el troyano: PKZINST.EXE. Fue escrito en Turbo-Pascal. Al ser ejecutado, muestra el mensaje: Utilidad de instalación de PKZIP (R) Versión 3.00b 4-05-950 Copr. 1989-1995 Pkware Inc. Todos los derechos reservados. Pkzip Reg. Patente de los Estados Unidos y Tm. Apagado. Inicializando, esto puede tomar unos minutos …. y ejecuta dos comandos: COMMAND.COM / C Formato c:> NULL COMMAND.COM / C deltree / yc:> NULL Afortunadamente, el autor de ese troyano no tiene suficiente conocimiento de la computadora, y el primer comando simplemente espera la confirmación del DOS: ADVERTENCIA: TODOS LOS DATOS EN DISCO NO EXTRAÍBLE UNIDAD C: ¡SE PERDERÁ! Proceda con Formato (S / N)? Esta solicitud puede finalizar con restablecimiento o con Ctrl-C / Break. En ambos casos, el troyano finaliza sin dañar los datos. En el caso de Ctrl-C solo informa los usos: Gracias por esperar, idiota. No deberías haber follado con nosotros. y vuelve a DOS. Hay un error más en ese troyano: la redirección "> NULL" crea el archivo NULL en el directorio actual, para deshabilitar cualquier mensaje que el autor del virus haya tenido que escribir "> NUL". Veo que el autor del virus aprende el DOS página por página en orden alfabético, sabe cómo usar los comandos que comenzaron con "D" y "F", pero todavía no ha llegado a las instrucciones "N" (nulo) mientras leyendo su Guía de Usuario de DOS. AVP detecta ese troyano con el nombre "Trojan.PKZ300b" en el archivo ejecutable extraído, así como en el archivo autoextraíble.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Trojan.Win32.PKZ300b

Detalles técnicos