Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: Pif_Lys. Un acceso directo destructivo
 
VSantivirus No. 201 - Año 5 - Jueves 25 de enero de 2001

Nombre: Pif_Lys
Tipo: Caballo de Troya
Alias: LYS, Pif/Lys, WinPIF.Lys, PIF.Lys
Destructivo: Si
Tamaño: 967 bytes

Este troyano con formato PIF (Windows Program Information), actúa buscando accesos directos (PIFs) en su directorio de trabajo.

Cada vez que encuentra un archivo PIF, lo copia y lo sobrescribe sobre los que encontró antes. Por ejemplo, si existen en el directorio actual estos archivos, con el siguiente contenido:

1.PIF = Uno
2.PIF = Dos
3.PIF = Tres

Cuando el trojan encuentra primero el archivo 1.PIF, copia el contenido de ese archivo, pero como no ha encontrado otro antes, no lo sobreescribe. Cuando encuentra el archivo 2.PIF, el troyano copia el contenido de 2.PIF y lo copia en 1.PIF:

1.PIF = Dos
2.PIF = Dos
3.PIF = Tres

Cuando el troyano encuentra el archivo 3.PIF, sobrescribe su contenido en 1.PIF, 2.PIF y 3.PIF:

1.PIF = Tres
2.PIF = Tres
3.PIF = Tres

Aunque un archivo PIF puede contener un virus (ver VSantivirus No. 123 - Año 4 - Miércoles 8 noviembre de 2000, Virus: FABLE. La inocencia perdida de los archivos PIF), este no es el caso, y por lo tanto el troyano ejecuta la línea de comando del propio PIF y usa el directorio de trabajo como parámetro de búsqueda.

Los archivos PIF eran considerados hasta hace poco inofensivos. Se trata de archivos utilizados en principio, solo para almacenar información relacionada con la ejecución de los programas DOS, y uno supondría que no contienen más que datos como el nombre del ejecutable, su tamaño, ubicación en el disco, configuración de la pantalla, uso de la memoria y poco más.

Sin embargo, estos archivos también pueden incluir código en formatos EXE, COM o BAT en su interior, el cuál puede ser ejecutado por el propio PIF.

Fuente: Trend Micro


Ver también:
 08/nov/00 - Virus: FABLE. La inocencia perdida de los archivos PIF

  

Copyright 1996-2001 Video Soft BBS