Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Fully. Un infector de archivos con errores
 
VSantivirus No. 607 - Año 6 - Miércoles 6 de marzo de 2002

 W32/Fully. Un infector de archivos con errores
http://www.vsantivirus.com/fully.htm

Nombre: W32/Fully
Tipo: Virus infector de archivos 
Alias: W32.Fully.3424
Fecha: 27/feb/02
Fuente: VirusAttack!

Posiblemente escrito en lenguaje assembler este virus infecta algunos ejecutables del sistema. El mismo cuenta con varios errores y es incapaz de propagarse. 

Dentro del virus existe una gran cantidad de cadenas encriptadas. Este encriptación parece ser un intento por ocultar el código.

Cuando ese virus es ejecutado, busca la librería Kernel32.dll en memoria. Una vez que el mismo es encontrado el virus lo analiza en busca de ciertas funciones que necesitará usar. La búsqueda de las funciones en dicho archivo son de la siguiente manera:

a. Busca la lista de nombre de funciones que el Kernel32.dll exporta.

b. Encripta los nombres.

c. Compara las cadenas encriptadas con las cadenas que actualmente se encuentran dentro del virus.

En el caso que una cadena coincida, almacena en una tabla la dirección de esta función para usarla luego. 

Una vez que el virus tiene la dirección de la función que necesita, busca archivos ejecutables en el disco duro. La búsqueda empieza con archivos con extensiones exe en el disco C:. El virus intenta infectar solo los dos primeros archivos que encuentre. La rutina de infección cuenta con varios errores y tampoco el virus puede propagarse.

Los pasos para la infección son los siguientes:

1. Intenta abrir el primer archivo que ha encontrado.

2. Chequeando la firma PE dentro del archivo, chequea que realmente sea un archivo ejecutable.

3. Verifica que el archivo pueda ser infectado mirando en algunos campos de la cabecera PE.

4. En el caso de que el archivo pueda ser infectado, copia el código del virus al final del archivo y modifica varios campos en la cabecera agregando el punto de entrada. La modificación del punto de entrada en la cabecera hará que el virus sea ejecutado antes que el archivo huésped.

Luego de infectar esos dos archivos, el virus muestra el siguiente mensaje:

You will delete anything? 
This feature are not avaible ! 
 (nombre del autor del virus)

Finalmente, luego de que muestra el mensaje, se coloca en una ubicación aleatoria en memoria. Esto parece ser un intento para ejecutar el archivo huésped. Sin embargo, debido a otro error en el código del virus normalmente esto causa que Windows no responda.

Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y seleccione reparar los archivos que aparezcan infectados con el W32/Fully.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS