Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Bat/Bwg.A. Puede ser confundido con el EICAR test file
 
VSantivirus No. 679 - Año 6 - Viernes 17 de mayo de 2002

 Bat/Bwg.A. Puede ser confundido con el EICAR test file
http://www.vsantivirus.com/bwg-a.htm

Nombre: Bat/Bwg.A
Tipo: Gusano de Internet (MS-DOS Batch)
Alias: Bat/Bwg.a@MM
Fecha: 29/abr/02
Tamaño: 3,999 bytes
Fuente: NAI

Existe una herramienta que genera virus del sub-tipo MS-DOS Batch. Los archivos .BAT son archivos de procesos por lotes (un archivo de texto con una lista de comandos de DOS), que se pueden ejecutar desde una sesión DOS en Windows, o bajo una ventana.

Con dicha herramienta (llamada BWG, Batch worm generator), se ha creado este virus capaz de propagarse a través de Internet (posee un componente en VBS, Visual Basic Script que permite esto), enviándose a toda la libreta de direcciones del Outlook.

El virus se transmite en un mensaje con un archivo .BAT como adjunto, y estas características:

Asunto: aaa
Texto: bbb
Datos adjuntos: b.bat

Si el usuario hace doble clic sobre el adjunto, el virus se ejecuta, copiándose a si mismo en estas ubicaciones:

C:\a.bat
C:\b.bat
C:\pro\a.jpg.bat
%Windir%\b.arv.bat

La variable %Windir% corresponde al camino y nombre del directorio donde Windows se encuentre instalado. Por defecto, bajo Windows 9x y Me, esto suele ser C:\Windows.

También se crea el siguiente script (VBS), que contiene el código de propagación en masa del virus:

c:\dkhcz.vbs

El gusano busca además si está instalado algún cliente de IRC como mIRC o pIRCh. Si detecta alguno de ellos, modifica el archivo SCRIPT.INI (mIRC) o EVENTS.INI (pIRCh). En el caso del primero (mIRC), el archivo que envía a los usuarios conectados al mismo canal de chat es C:\pro\a.jpg.bat. Si en cambio es el pIRCh, se envía el archivo %Windir%\b.arv.bat.

El virus también infecta los siguientes archivos (si están presentes):

%windir%\startm~1\progra~1\autost~1\*.bat
%windir%\Start Menu\Programs\StartUp\bjits.bat

%windir%\Desktop\*.ifk

Luego renombra los archivos *.ifk como *.bat.

Una característica de este virus, es que su código comienza con la misma cadena de caracteres del archivo de prueba de antivirus, EICAR (ver: VSA#639, http://www.vsantivirus.com/eicar-test.htm). Esta característica provoca un curioso comportamiento, ya que cuando el gusano se ejecuta, se produce un mensaje de error del tipo "archivo no encontrado". Sin embargo, la ejecución del gusano continúa en segundo plano. Por otra parte, algunos antivirus lo detectan solo como el EICAR test, dando lugar a confusiones, entre ellas, las de hacer pensar al usuario que el archivo es inofensivo.

Para quitar el virus de un sistema infectado, busque y borre toda presencia de los siguientes archivos:

C:\a.bat
C:\b.bat
a.jpg.bat
b.arv.bat
dkhcz.vbs

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Cómo ver las extensiones de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 639 - 7/abr/02
¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS