W32/Flagger. 20 de noviembre borra todos los ejecutables

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 729 - Año 6 - Sábado 6 de julio de 2002

W32/Flagger. 20 de noviembre borra todos los ejecutables
http://www.vsantivirus.com/flagger.htm

Nombre: W32/Flagger
Tipo: Virus de ejecutables Win32
Alias: Win95.Flagger, Win32.Flagger, Win95/Gundam.12618, Win32.Hezhi
Plataforma: Windows 32-bits
Fecha: 27/jun/02
Tamaño: 12,618 bytes

Este virus residente y con características polimórficas funciona en plataformas Windows 9x, pero falla bajo Windows NT, 2000 y XP, debido a un error en su código.

Cuando se ejecuta, el virus crea en memoria un objeto llamado DELPHI, que es usado para indicar que ya está activo.

Cuando otro archivo infectado es ejecutado, y el virus detecta la existencia de dicho objeto, se crea una segunda copia en memoria del programa infectado, y se le pasa el control directamente al host, sin ejecutarse el código viral.

La primera copia del virus permanece en memoria en segundo plano, infectando lenta pero sistemáticamente otros archivos, primero en cualquier recurso compartido de una red sin protección, y luego los archivos de todas las unidades de disco mapeadas de la C a la Z, tanto en los discos duros locales como en las unidades en red.

El virus intenta también registrarse como un servicio bajo Windows 9x, para seguir ejecutándose cuando el usuario se desconecte (en el caso de múltiples usuarios).

Además del mencionado procedimiento de propagación, en los sistemas Windows 95, 98 y Me, utiliza una técnica secundaria de residencia en memoria que lo convierte en un virus del tipo VxD, de modo que cada vez que el usuario simplemente abra un archivo o pulse el botón derecho sobre el icono de un ejecutable, se produce la infección.

Si la fecha del sistema es 20 de noviembre de cualquier año, el virus borra todos los archivos ejecutables en lugar de infectarlos, de acuerdo a las técnicas vistas antes.

El virus evita infectar aquellos archivos cuyos nombres comiencen con las siguientes cadenas:

RUNDLL32
RUNONCE
RAV
LSASS
SERVICES
WINLOGON
SPOOLSV
MSTASK
RPCSS

Además, aún fuera de la fecha de ejecución de su rutina destructiva, borra todo archivo que comience con la siguiente cadena:

AVCONSOL

Reparación manual

Para borrar manualmente el virus, primero asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Desconecte sus computadoras en red y proceda en forma independiente con cada una de ellas como se explica de aquí en adelante.

2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

4. Limpie los archivos detectados como infectados por el virus.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com