| Asunto: | Re: [SauloNet] Antivirus freeware Aprovechando el tiro | | Fecha: | Domingo, 6 de Julio, 2003 10:04:57 (+0200) | | Autor: | carlosues <carlosues @..........net>
|
| En respuesta a: | Mensaje 1978 (escrito por Saulo Barajas - Saulo.Net) |
Pues yo aprovecho tambien para incidir sobre este tema,cada dia nos lo ponen
mas dificil,esto es nuevo y lo pego aqui por ser de interes
(con permiso de J.L.López)
RapidBlaster, un parásito difícil de eliminar
http://www.vsantivirus.com/rapidblaster.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
RapidBlaster es un código parásito que se instala vía ActiveX, en forma
silenciosa y clandestina, cuando se visitan sitios web de diferente
naturaleza, generalmente dedicados a la pornografía. También se instala con
algunas utilidades que agregan barras de herramientas como ISTBar.
Este parásito, se ejecuta luego en cada reinicio de Windows, y cada vez que
detecta alguna conexión a Internet presente, se conecta cada cierto tiempo a
servidores predeterminados a los efectos de mostrar ventanas pop-ups que se
abren sin pedirnos permiso, en este caso con publicidad pornográfica.
Según se menciona en el sitio oficial de Rapidblaster, este software
colecciona y almacena información acerca de las páginas visitadas por el
usuario y los datos ingresados a los buscadores, entre otras cosas. Algunos
de los datos recolectados de esta forma pueden llegar a ser incluso
personales (nombres, dirección de e-mail, etc.).
RapidBlaster también envía un identificador único a los servidores que lo
controlan, de modo que cada computadora infectada puede ser claramente
registrada.
También puede descargar y ejecutar otra clase de código, cómo discadores o
al propio RapidBlaster que puede volverse a instalar después de haber sido
aparentemente eliminado. Todo ello en forma silenciosa para el usuario.
RapidBlaster es identificado también como RB32 (rb32.exe es el nombre de su
ejecutable).
Existen variantes, RapidBlaster/v1 es la versión original. RapidBlaster/lp
es una actualización con algunas pequeñas diferencias. Y finalmente
RapidBlaster/Ainst es un instalador ActiveX, capaz de cargar y ejecutar las
dos versiones anteriores (v1 y lp).
La variante más reciente tiene la capacidad de transformarse a si misma
(morphing), para eludir su detección. Cómo dijimos, RapidBlaster descarga
datos en forma periódica de sus servidores. Estos datos pueden contener
información para crear una nueva carpeta, en donde se copia con un nuevo
nombre de archivo. Luego, finaliza el proceso original y borra el archivo
correspondiente, ejecutándose con el nuevo nombre y desde la nueva
ubicación.
Cómo el nombre de la carpeta y del archivo, son seleccionados al azar por el
servidor, y no están indicados en ninguna otra parte, es muy difícil para
los programas que buscan y borran spywares (anti-spywares), identificar cada
versión nueva. Incluso es complicado intentar eliminarlos manualmente.
Aunque el usuario identificara la clave en el registro usada para la
autoejecución del RapidBlaster, mientras éste estuviera ejecutándose puede
recibir las instrucciones para cambiar de carpeta y de nombre, y por lo
tanto de clave en el propio registro. Por lo tanto todo proceso de
eliminación manual es muy delicado.
Existe una herramienta llamada "RapidBlaster Killer", específicamente creada
para eliminar este spyware, que puede ser descargada del enlace que se da al
final. Es una utilidad gratuita, preparada para eliminar correctamente todas
las variantes de RapidBlaster, incluida la versión capaz de realizar el
"morphing".
Referencias
Descarga de RapidBlaster Killer (28 Kb)
http://www.spywareinfo.com/downloads/rbkiller/rbkiller.exe
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
Re: Antivirus free
Responder a este mensaje