Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Kernl. Cuidado con los ejecutables SETUP*.EXE
 
VSantivirus No. 203 - Año 5 - Sábado 27 de enero de 2001

Nombre: W32/Kernl
Tipo: Virus y Caballo de Troya
Alias: PE_ZOMBY.17920 (Trend), Win32.Zomby (AVP), Zomby (F-Prot), W32/Kernl (McAfee)
Fecha: 10/ene/01
Tamaño: 17,920 bytes

Es un virus infector de archivos Win 32 (PE), y un caballo de Troya del tipo Backdoor (acceso por la "puerta trasera").

Cuando se ejecuta, el virus se copia en esta carpeta, con este nombre:

C:\WINDOWS\SYSTEM\KERNL32.EXE

No confundir KERNL32.EXE con KERNEL32.DLL, un archivo legítimo de Windows.

También genera el siguiente cambio en el registro de Windows, para poder ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KRNL=Kernl32.exe

El virus permanece cargado en memoria, y cada cierta cantidad de minutos, busca todos los archivos cuyos nombres comiencen por "SETUP".

Cuando encuentra un ejecutable PE en formato .EXE, con esas características en el nombre, el virus copia su código al comienzo del archivo.

El componente "Backdoor" del virus, permite a un atacante borrar y crear directorios; borrar, crear, leer, escribir y mover archivos.

Además, el troyano puede recoger y enviar datos de la computadora atacada, tales como espacio libre en el duro, nombre de usuario, etc., a uno de 3 sitios FTP, en un archivo de imágenes, .GIF.

Los síntomas de la infección, pueden ser el aumento de tamaño de los archivos infectados (17,920 bytes), y la presencia del archivo "KERNL32.EXE" en "C:\WINDOWS\SYSTEM".

La infección, se produce al ejecutar el usuario un archivo SETUP*.EXE infectado (el asterisco significa cualquier nombre, que comience con SETUP, incluso SETUP.EXE).

Como limpiar el virus en forma manual

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

KRNL "Kernl32.exe"

4. Pinche sobre el nombre "KRNL" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su PC (Inicio, Apagar el sistema, Reiniciar).

Borrar los archivos del gusano

1. Pinche en Inicio, Buscar, Archivos o carpetas.

2. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3. En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:

KERNL32.EXE

IMPORTANTE: no confundir con KERNEL32.DLL

4. Pinche en "Buscar ahora".

5. Si aparece este archivo, márquelo.

6. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

7. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

8. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

Fuente: McAfee

 

Copyright 1996-2001 Video Soft BBS