Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Cidu.A. Infecta archivos .EXE pero puede borrarlos
 
VSantivirus No. 1119 Año 7, Jueves 31 de julio de 2003

W32/Cidu.A. Infecta archivos .EXE pero puede borrarlos
http://www.vsantivirus.com/cidu-a.htm

Nombre: W32/Cidu.A
Tipo: Infector de archivos ejecutables
Alias: Cidu, W32/Cidu-A, Win32/Cidu.A
Plataforma: Windows 32-bit
Fecha: 30/jul/03

Este virus, escrito en Delphi, infecta ejecutables con extensión .EXE cada vez que se ejecuta.

El proceso de infección es el siguiente:

1. Intenta copiar el archivo original con el mismo nombre pero extensión .DLL:

Ejemplo: EJECUTABLE.EXE es copiado como EJECUTABLE.DLL

2. Sobrescribe el archivo original con su propio código:

EJECUTABLE.EXE ahora es el gusano

El primer paso falla en ocasiones, creándose un archivo .DLL de cero bytes, por lo que el programa colapsa en el momento que es llamado. Como los .EXE pueden ser archivos del propio Windows, es muy probable que se comiencen a producir comportamientos erráticos del sistema y posibles cuelgues, debiéndose reinstalar los programas eliminados.

Todos los archivos infectados son marcados como ocultos (+H), de sistema (+S) y solo lectura (+R).

Por cada archivo infectado, el virus agrega una entrada como la siguiente en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
\OriginalFileName

El virus posee además las siguientes rutinas maliciosas:

  • Abre la bandeja de la lectora de CD
  • Deshabilita el teclado y/o el mouse
  • Deshabilita la barra de tareas
  • Elimina y/o reemplaza algunos iconos del escritorio
  • Muestra una imagen que alterna la figura de un perro de color negro con una cara humana.


Reparación manual

Nota: Si se ejecutó el gusano, los cambios realizados en los archivos renombrados y/o borrados, harán muy dificultosa una recuperación manual del sistema. La única solución efectiva será reinstalar todos los programas y aplicaciones, incluido Windows.

Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.

Ejecute antes y después, uno o más antivirus actualizados.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS