|
|||||||
|
|
|
|||||
|
|
|||||||
 |
  |
||||||||||||||||||||||||
|
Virus W32/Kriz.3862 Nombre del Virus: W32/Kriz.3862 Características: Un nuevo virus polimórfico que infecta archivos PE EXE (ejecutables de Windows), con extensiones .EXE y .SRC, de Windows 95/98 y NT, ejecuta una rutina destructora del CMOS, similar a la del Chernobyl. Información: Este peligroso virus, tiene un "payload" que se ejecuta el 25 de diciembre (el día cristiano de Navidad), si se corre ese día un archivo infectado. Al hacer esto, el virus borra la memoria CMOS e intenta destruir la Flash BIOS de la computadora, lo cual hará que la PC no pueda volver a bootear. Sí consigue esto, el chip deberá ser reemplazado. Al ejecutar un archivo infectado, este chequeará sí el KERNEL32.DLL (el "corazón" de los sistemas operativos Windows) está infectado. De ser así, la rutina del virus finaliza (lo que no quiere decir que la PC no esté infectada). Caso contrario, copia el KERNEL32.DLL a un nuevo archivo KRIZED.TT6 en el Windows\System, e infecta ese nuevo archivo con la rutina que lepermitirá infectar nuevos archivos .EXE y .SCR. Luego, genera el archivo WININIT.INI (encargado de inicializar Windows), y le copia la siguiente sentencia para reemplazar el KERNEL32.DLL, por su copia infectada: [rename] C:\WINDOWS\SYSTEM\KERNEL32.DLL=C:\WINDOWS\SYSTEM\KRIZED.TT6 De esta manera, el virus queda residente, y cada vez que un archivo ejecutable PE(Portable Executable) sea ejecuta, copiado, movido o scanneado, será infectado por el virus. Las siguientes son las funciones del archivo KERNEL32.DLL, que monitoriza para poder infectar: CopyFileA, CopyFileW, CreateFileA, CreateFileW, CreateProcessA, CreateProcessW, DeleteFileA, DeleteFileW, GetFileAttributesA, GetFileAttributesW, MoveFileA, MoveFileW, MoveFileExA, MoveFileExW, SetFileAttributesA y SetFileAttributesW Este es un virus polimórfico, dado que cierta parte de su código es generado en forma aleatoria, para despistar a los programas antivirus. El virus se "pega" al final de los archivos infectados. Y para diferenciar los infectados de los que no lo están, agrega el ID "666" a un campo reservado del encabezado de los archivos PE infectados. Para desinfectarse o detectarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. El archivo KERNEL32.DLL infectado no puede ser recuperado, y deberá ser reemplazado por una nueva copia limpia. Debido a esto se recomiendo tener un backup periódico de este archivo, después de comprobar que su sistema está limpio.
Copyright © 2000 FishLink |