Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
EIC.Trojan. Simula ser el EICAR pero es destructivo
|
|
VSantivirus No. 361 - Año 5 - Miércoles 4 de julio de 2001
EIC.Trojan. Simula ser el EICAR pero es destructivo
http://www.vsantivirus.com/eic-trojan.htm
Nombre: EIC.Trojan
Tipo: Caballo de Troya destructor de sector de booteo
Fecha: 28/jun/01
Tamaño: 68 bytes
Este troyano (que solo funciona bajo Windows 9x y Me) es capaz de causar daños en el sector de booteo del disco duro, impidiendo el acceso al mismo, y evitando de ese modo el funcionamiento de la computadora infectada, con la posible perdida de archivos.
Es un pequeño programa DOS escrito en assembler, de solo 68 bytes de longitud, y una de las causas que lo pueden hacer muy peligroso, es que parte de su código es muy similar al del archivo de prueba conocido como
EICAR (Standard Antivirus Test File).
Creado en 1996 por el Instituto Europeo para la Investigación de los Anti-Virus Informáticos (EICAR), este archivo de prueba es un estándar mediante el cual los usuarios pueden verificar el funcionamiento de los antivirus instalados en sus computadoras, siendo soportado por prácticamente todos los fabricantes de antivirus.
Este pequeño archivo, aunque es reconocido como tal en las pruebas, en realidad no es un virus, sino una serie totalmente inofensiva de
68 caracteres ASCII (70 si lo generamos con un editor de texto, debido a los códigos de retorno y final de línea que suelen insertar los editores).
Si llegamos a ejecutar el archivo EICAR, se visualizará el siguiente mensaje:
"EICAR-STANDARD-ANTIVIRUS-TEST-FILE", pero no se producirá ningún otro tipo de acción, ni ninguna clase de daño o modificación de archivo alguno en nuestro PC.
El troyano EIC.Trojan, en cambio, es un código maligno, capaz de dejar inutilizable el disco duro de la máquina infectada. La similitud (incluso en tamaño), puede confundir fácilmente a cualquier usuario inexperto, por lo que se recomienda la mayor de las precauciones al utilizar el verdadero archivo
EICAR.
El troyano utiliza algunas subfunciones de la función INT 13 del DOS, la que permite la escritura directa en el disco duro, grabando de este modo información basura en el sector de arranque del disco C.
En caso de haberse ejecutado el troyano, será imposible el reinicio de Windows, por lo que la reparación significará en la mayoría de los casos, el formateo de la unidad de disco duro y la reinstalación desde cero de Windows, con la consiguiente perdida de todos los datos almacenados en el disco antes de la ejecución del troyano.
Se recomienda precaución cada vez que ejecute el archivo EICAR, utilizando antes un antivirus actualizado. Si se trata del verdadero archivo
EICAR, la respuesta del antivirus debería ser alguna de las siguientes:
infected: EICAR-Test-File (AVP)
file contains code of the virus 'Eicar-Test-Signatur'
Identidad 'EICAR-AV-Test' encontrado (Sophos)
infected with the EICAR Test String.70 virus. (Norton)
Found: EICAR test file NOT a virus. (McAfee)
found EICAR-ANTIVIRUS-TEST-FILE
infected with EICAR Test File (NOT a Virus!) (Dr. Web)
Infection: EICAR_Test_File (F-Prot)
El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Más sobre el EICAR
VSantivirus No. 639 - Año 6 - Domingo 7 de abril de 2002
¡Pruebe si realmente su antivirus lo está protegiendo!
http://www.vsantivirus.com/eicar-test.htm
Actualizado: 7/abr/02
Fuente: Symantec AntiVirus Research Center (SARC), Hispasec
(c) Video Soft - http://www.videosoft.net.uy
|
|
|