Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Golsys. Infecta todos los ejecutables
 
VSantivirus No. 757 - Año 6 - Domingo 4 de agosto de 2002

W32/Golsys. Infecta todos los ejecutables
http://www.vsantivirus.com/golsys.htm

Nombre: W32/Golsys
Tipo: Virus de ejecutables Win32
Alias: W32.Golsys.8020, BloodHound.W32.1
Variantes: W32.Golsys.14292, W32.Nios.14292 (*)
Fecha: 2/ago/02, 14/ago/02
Tamaño: 8,020 bytes, 14,292 bytes
Plataformas: Windows 32-bits

(*) Nota: la única diferencia entre las variantes es el tamaño de los archivos.

Escrito en lenguaje assembler, este pequeño virus intenta infectar todos los archivos ejecutables en formato PE (Windows 32 bits), tanto en los discos duros, como en las unidades de red compartidas.

Cuando se ejecuta, el virus se copia en la siguiente ubicación:

C:\Windows\System\Sysl0gon.exe

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

El virus busca el archivo de Windows Kernel32.dll (componente del núcleo del kernel Win32 de Windows).

Luego, reserva 4,940 bytes de la memoria para su propio uso, donde carga la información necesaria del Kernel32 para hacer uso directo de sus APIs. El virus importa una larga lista de funciones desde Kernel32.dll, y guarda sus direcciones en memoria para hacer uso directo de ellas.

Luego, genera un segundo hilo de ejecución de su propio código, sin razón lógica aparente, ya que en este punto el hilo principal entra en un bucle infinito (queda en memoria hasta el reinicio de Windows).

Este segundo hilo comienza buscando el camino de la carpeta System para crear el archivo Sysl0gon.exe allí (también queda registrado de este modo el camino real de Windows, por defecto 'C:\Windows' y 'C:\Windows\System').

El virus también importa APIs de otros DLLs para su uso. Al finalizar borra el archivo Sysl0gon.exe. En ocasiones, en lugar de ello, encripta su código con una simple función 'dword XOR'.

El virus crea entonces numerosos hilos y actualiza un contador con cada hilo creado. Todos estos hilos buscan en todas las unidades de disco locales y compartidas en red, archivos EXE en formato PE para infectarlos. En cada archivo infectado incluye una marca que impide volver a infectarlo más de una vez.

El virus se ejecuta a si mismo como un servicio, y queda 'durmiendo' en memoria durante un corto período de tiempo entre diversas infecciones.

Aunque el virus no puede transmitirse por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.

También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc., en forma consciente o por descuido si su origen es una máquina infectada.


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Una vez en modo a prueba de fallos, proceda a hacer un examen de todos sus archivos y carpetas para reparar los archivos infectados.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario:

PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.


Modificaciones:
16/ago/02 - Variantes: W32.Golsys.14292, W32.Nios.14292




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS