Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Fosforo.A/B. 12 de julio bloquea todos los programas
 
VSantivirus No. 734 - Año 6 - Jueves 11 de julio de 2002

 W32/Fosforo.A/B. 12 de julio bloquea todos los programas
http://www.vsantivirus.com/fosforo.htm

Nombre: W32/Fosforo.A, W32/Fosforo.B
Tipo: Infector de ejecutables de Windows
Alias: Win32/Fosforo, Win32.Fosforo.A y Win32.Fosforo.B
Fecha: jun/00, jul/02
Tamaño: 7 Kb Aprox.

Se trata de un virus no residente en memoria, y parásito, que utiliza una rutina polimórfica y la técnica denominada "Entry Point Obscuring" (EPO) para esconder su código en los archivos infectados.

Esta técnica consiste básicamente en sustituir una llamada a una rutina API por una llamada a su propio código. API (Application Program Interface), es un conjunto de rutinas que un programa utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo.

Cuando un archivo infectado se ejecuta, el virus toma el control, busca ejecutables de Win32 (PE EXE) en el directorio de Windows y Windows\System y los infecta. Cuando lo hace se encripta a si mismo y se escribe al final del archivo. Para tomar el control cuando el archivo infectado es ejecutado, el virus no modifica la dirección de comienzo real del programa, pero agrega un salto al código del virus (JMP virus) en la mitad del ejecutable infectado, y luego retorna a él.

No infecta archivos que comiencen con la letra 'F' o que contengan una 'V' en la primera o segunda posición del nombre de dicho archivo.

También utiliza un truco anti-debug para causar un desbordamiento de pila cuando se intenta examinar su código en memoria con alguna utilidad (debugger).

La versión 'A' del virus posee un bug y los archivos infectados a menudo son adulterados y resultan corruptos durante la infección. Cuando se ejecutan estos, se despliega entonces una ventana de error de Windows refiriéndose a dicha aplicación (del tipo "Memoria insuficiente").

La versión 'B' corrige esta falla e infecta solo algunos archivos cada vez que se ejecuta, estando activo en memoria poco tiempo, en un intento para dificultar su localización.

El virus posee una rutina maliciosa que se dispara el 12 de julio y que hace que infecte todas las aplicaciones que se ejecuten, además de bloquearlas.

El virus contiene el siguiente texto en su código:

F0SF0R0 virus by N.B.K / MATRiX

El virus se activa siempre por la ejecución directa del usuario, y no tiene ninguna capacidad de propagación a través de la red (no es un gusano). Sin embargo, tenga en cuenta que cualquier archivo previamente infectado, podría ser enviado en forma premeditada o por accidente, en un correo electrónico, o descargado desde un sitio en Internet. Por supuesto, usted jamás debería ejecutar nada por primera vez, sin revisarlo antes con sus antivirus al día.


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Limpie los archivos detectados como infectados por el virus

También se sugiere su limpieza bajo MS-DOS con F-Prot desde un disquete de inicio, como se explica en nuestro sitio:

VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)
http://www.vsantivirus.com/fprot-disq.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario

ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS