Virus: W32.Oporto.3078

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

Lunes 1 de noviembre de 1999.

Nombre: W32/Oporto.3078

Este virus, de origen aparentemente portugués, aunque ha sido visto hasta ahora en Alemania y Australia, infecta los archivos ejecutables PE de Windows 95, 98 y NT, y su longitud es de 3078 bytes.

Si un archivo infectado se ejecuta el 24 de setiembre, el virus crea un número interminable de ventanas con el siguiente mensaje:

TOTILIX Presents

This >TOTILIX< Virus was assembled at the city of Oporto Portugal!

gas_par@hotmail.com
(c) 1999 G@SP@R aka Sexus

Durante la infección, el virus borra los primeros seis bytes en el punto de entrada del programa a infectar, para transferir al mando a su código cuando se ejecute ese programa. Estos seis bytes se guardan en el propio cuerpo del virus y se restauran en memoria cuando se ejecuta el archivo infectado para pasarle el control al mismo, luego de ejecutarse el virus.

Después de desencriptar su código, el virus busca 30 funciones API de Windows, y las usa para encontrar e infectar archivos (las API, Application Program Interface o interface para la programación de aplicaciones, son un conjunto de funciones que se pueden usar en los programas para hacer casi cualquier cosa que se pueda hacer bajo Windows).

Luego de esto, el virus se asigna cierta cantidad de memoria, y se copia a si mismo en ella, ejecutándose desde allí.

No infecta archivos que empiezan con NTVD, y si encuentra algún archivo llamado ANTI-VIR.DAT lo borra.