C:\Windows\System\Sysl0gon.exe

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

El virus busca el archivo de Windows Kernel32.dll (componente del núcleo del kernel Win32 de Windows).

Luego, reserva 4,940 bytes de la memoria para su propio uso, donde carga la información necesaria del Kernel32 para hacer uso directo de sus APIs. El virus importa una larga lista de funciones desde Kernel32.dll, y guarda sus direcciones en memoria para hacer uso directo de ellas.

Luego, genera un segundo hilo de ejecución de su propio código, sin razón lógica aparente, ya que en este punto el hilo principal entra en un bucle infinito (queda en memoria hasta el reinicio de Windows).

Este segundo hilo comienza buscando el camino de la carpeta System para crear el archivo Sysl0gon.exe allí (también queda registrado de este modo el camino real de Windows, por defecto 'C:\Windows' y 'C:\Windows\System').

El virus también importa APIs de otros DLLs para su uso. Al finalizar borra el archivo Sysl0gon.exe. En ocasiones, en lugar de ello, encripta su código con una simple función 'dword XOR'.

El virus crea entonces numerosos hilos y actualiza un contador con cada hilo creado. Todos estos hilos buscan en todas las unidades de disco locales y compartidas en red, archivos EXE en formato PE para infectarlos. En cada archivo infectado incluye una marca que impide volver a infectarlo más de una vez.

El virus se ejecuta a si mismo como un servicio, y queda 'durmiendo' en memoria durante un corto período de tiempo entre diversas infecciones.

Aunque el virus no puede transmitirse por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.

También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc., en forma consciente o por descuido si su origen es una máquina infectada.


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Una vez en modo a prueba de fallos, proceda a hacer un examen de todos sus archivos y carpetas para reparar los archivos infectados.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario:

PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.


Modificaciones:
16/ago/02 - Variantes: W32.Golsys.14292, W32.Nios.14292



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com