Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Win32.HLLC.Nan: Un virus capaz de ejecutar al Win95-CIH
 
Martes 6 de julio de 1999.

Nombre: W32/HLLC.Nan

Ha sido detectado un nuevo y peligroso virus (llamado "Win32.HLLC.Nan" por AVP debido a cierta cadena de texto incluida en su código), y entre sus características, tiene la de poder esconder (actúa como "dropper") y ejecutar el destructivo virus "Win95-CIH".

El propio virus es un archivo ejecutable de Windows (de unos 90Kb, y escrito en lenguaje "Delphi"). Cuando un archivo infectado es ejecutado, el virus se extiende por todo el sistema. Busca ciertos archivos, los copia con otros nombres, y borra los archivos originales, sobreescribiéndolos con una copia del propio virus.

Esta es la lista de archivos modificados e infectados:
 Infectado       Copiado        Directorio
 -------------   ----------     ----------
 NOTEPAD.EXE     57381054.EXE   en el directorio Windows
 CDPLAYER.EXE    45123851.EXE   en el directorio Windows
 ACRORD32.EXE    57293711.EXE   Acrobat3\Reader
 EUDORA.EXE      83747213.EXE   Eudora95
 OUTLOOK.EXE     68493105.EXE   Archivos de programa\Microsoft Office\Office\
 IEXPLORE.EXE    57385694.EXE   Archivos de programa\Internet Explorer\
 NETSCAPE.EXE    27431087.EXE   Archivos de programa\Netscape\Program\
 WINWORD.EXE     57120438.EXE   Archivos de programa\Microsoft Office\Office\
 EXCEL.EXE       58192823.EXE   Archivos de programa\Microsoft Office\Office\
 WINZIP32.EXE    01583754.EXE   Archivos de programa\WinZip\
 ICQ.EXE         95821740.EXE

En este último caso, lee el nombre del directorio para copiar el ICQ del registro de Windows (\Software\Mirabilis\ICQ\DefaultPrefs IcqPath).

El virus también crea copias de si mismo en los discos (incluidos los disquetes) con nombres como: WIN32APP.EXE, WINLOGIN.EXE, ZIPTOOLS.EXE.

Se crea además en el registro la entrada necesaria para ejecutar el archivo WIN32APP.EXE en el disco C:, al arrancar Windows:

La clave es:

\Software\Microsoft\Windows\CurrentVersion\Run=c:\Win32App.exe

Revisa también si ciertos antivirus están ejecutándose, y termina las aplicaciones que tengan estos nombres:

Norton AntiVirus Auto-Protect Trial Version
Norton AntiVirus Auto-Protect
AVP Monitor

Dependiendo de la hora del sistema, el virus puede poner borrar (poner a cero) el nombre de la computadora y las etiquetas de los discos, buscar ciertas direcciones de Internet (URL) y reemplazarlas por nuevas referencias (una de las siguientes tres referencias):

[InternetShortcut]
URL=http://www.hustler.com
URL=http://www.playboy.com
URL=http://www.penthouse.com

Además, y también de acuerdo a la hora del sistema, puede borrar todos los archivos de las carpetas que se mencionan a continuación (los sobreescribe a todos ellos con bytes cero, y luego los borra, haciendo prácticamente imposible su recuperación).

Las carpetas afectadas son:

Windows\hosts
Windows\lmhosts
Windows\system32\drivers\etc\hosts
Windows\system32\drivers\etc\lmhosts

También llama ciertas rutinas al azar que permiten terminar abruptamente a Windows, o crear hasta 700.000.000 directorios con nombres también al azar. También puede crear (y ejecutar) un archivo llamado C:\DAPARTY.EXE, infectado con el virus "Win95.CIH", o mostrar el siguiente mensaje:

Greets to VirusBuster: darknode@oninet.es
Congratulations, you have Win32.Prurient.Torturous.Pain

Updates especiales de AVP ya lo reconocen, y usted puede bajarlos de aquí.

[Esta información está basada en el texto de análisis del virus "Win32.HLLC.Nan" realizado por Eugene Kaspersky (AVP Antivirus)]

  

Copyright 1996-2000 Video Soft BBS