Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Metrion.B. Sobrescribe archivos .BAT, .VBS y .CPP
 
VSantivirus No. 727 - Año 6 - Jueves 4 de julio de 2002

 W32/Metrion.B. Sobrescribe archivos .BAT, .VBS y .CPP
http://www.vsantivirus.com/metrion-b.htm

Nombre: W32/Metrion.B
Tipo: Virus de archivos PE
Alias: W32/Metrion-B, Win32-HLLP-Metrion32704-B, Win32.Metrion.37204
Fecha: 3/jul/02
Tamaño: 37,204 bytes
Variantes: W32/Metrion.A, W32/Metrion.B, W32/Metrion.C
Fuente: Sophos

Este virus infecta archivos PE de Windows 32-bit. El virus se inserta al principio del ejecutable infectado, y marca los archivos infectados con un byte extra (20 Hex) al final del mismo.

Los archivos infectados aumentan su tamaño en 37,204 bytes.

El virus contiene una destructiva rutina que sobrescribe todos los archivos HTML con el siguiente texto:

Tagged By Metrion Cascade II

 Metrion Cascade II –icarus

También sobrescribe todos los archivos .BAT (batch file) con el código para ejecutar el archivo original del virus (el que inició la infección). Ejemplo:

@ECHO OFF
C:\INFECTED.EXE

El virus busca también archivos con extensión .CPP (C++ program source code file), y los sobrescribe con el siguiente código:

#include 

void main()
{
cout << "Tagged by Metrion Cascade II";
}
//-icarus

Finalmente, el virus busca todos los archivos .VBS (Visual Basic Script), y los sobrescribe con el código que muestra la siguiente ventana de mensajes al ejecutarse el VBS:

-icarus
Tagged by Metrion Cascade II.
[    Aceptar    ]

El virus se activa por la ejecución directa del usuario, y no tiene ninguna capacidad de propagación a través de la red (no es un gusano). Sin embargo, tenga en cuenta que cualquier archivo previamente infectado, podría ser enviado en forma premeditada o por accidente, en un correo electrónico, o descargado desde un sitio en Internet. Por supuesto, usted jamás debería ejecutar nada por primera vez, sin revisarlo antes con sus antivirus al día.


Reparación manual

Para borrar manualmente el virus, asegúrese de actualizar sus antivirus con las últimas definiciones, y luego realice un escaneo de todos sus discos.

Es probable se requiera la reinstalación de algunos programas, o su reposición desde respaldos limpios.


Glosario:

ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS