:\program files
:\win2000
:\win98
:\win98se
:\windows
:\winme
:\winnt
:\winxp

El virus infecta los archivos mencionados, cuando los mismos son abiertos o ejecutados, agregando su código en las "cavidades" o partes no utilizadas del archivo original (esta clase de virus es conocida como "cavity infector" o "infector de cavidades"). El código principal del virus es copiado en una sección nueva antes de la última del archivo infectado

Los virus POLIMÓRFICOS cambian su código en forma aleatoria con la idea de confundir a los antivirus, al obtener un aspecto diferente en cada archivo infectado.

Cuando se ejecuta, el virus inyecta su código en todos los procesos activos, salvo en aquellos cuyo nombre contenga algunas de las siguientes cadenas:

csrss
ctfmon
drwatson
drwtsn32
dumprep
dwwin
kernel32.dll
savedump
smss
spoolsv
temp

El virus queda residente en memoria por cada aplicación activa, y cada copia del mismo es responsable de diferentes acciones (búsqueda e infección de archivos, propagación, etc.)

Para infectar los archivos, el virus intercepta todas las llamadas al sistema relacionadas con la apertura y cierre de archivos, creación y cierre de procesos, creación de archivos, llamada a bibliotecas, búsqueda de archivos, etc.

La infección puede corromper los archivos originales, comprometiendo la estabilidad del sistema.

El virus no infecta aquellos archivos cuyos nombres contengan algunas de las siguientes cadenas:

$
{
}
a2
adaptec
adinf
agnitum
ahead
aladdin
alarm
alwil
anti
armor
aspack
assemble
astonsoft
avast
avg
avp
avwin
avx
aware
backdoor
barracuda
blackice
blindwrite
burn
cillin
clean
clonecd
common
copystar
csrss
ctfmon
dbg
debug
defender
dfrgntfs
disasm
doctor
drwatson
drweb
drwtsn32
dss
dumprep
dwwin
eeye
elaborate
eliashim
esafe
eset
etrust
f-
firewall
forti
fpr
f-prot
frisk
fsav
gear software
gladiator
grisoft
guard
hack
heal
hijack
hunter
ibm
ida
imapi
infosystems
inoc
inoculate
intermute
iss
kasp
kaspersky
kerio
kernel32.dll
lavasoft
mc
mcafee
mirc
mon
nav
neolite
nero
newtech
nod
nod32
norman
norton
numega
nvc
olly
ort expl
ositis
outpost
pack
panda
pav
pebundle
pecompact
personal
pklite
pkware
principal
process
protect
proxy
qualys
rav
rescue
retina
root
route
roxio
safe'n'sec
sateira
scan
scn
secure
security
setup
shield
slysoft
smss
softice
softwin
sonique
sophos
spf
spider
spoolsv
spy
spyware
sqstart
starforce
steganos
swift sound
sygate
symantec
tb
tds3
temp
tenable
tiny
tmp
trend micro
trojan
upx
viri
virus
vsaf
vswp
vtf
watch
webroot
zone labs

Aunque originalmente está preparado para propagarse por la red P2P de intercambio de archivos entre usuarios Gnutella (usada por BearShare, Gnucleus 2.0.0.6, etc.), se han reportado infecciones también en usuarios de otras redes (eMule, eDonkey2000, etc.). Esto ocurre aún cuando el usuario infectado no tenga ninguno de esos programas instalados. Como parte de ese proceso, infecta archivos .EXE y .SCR en las carpetas compartidas por estas aplicaciones.

También intenta borrar los siguientes archivos cheksum, pertenecientes a conocidos antivirus, dejando a la computadora indefensa ante cualquier otra clase de ataque, y dificultando su detección:

aguard.dat
antivir.dat
avg.avi
avgqt.dat
avp.crc
chklist.cps
chklist.ms
drwebase.vdb
ivb.ntz
ivp.ntz
lguard.vps
smartchk.cps
smartchk.ms
vs.vsn

El código de los archivos infectados, contiene el siguiente texto:

Win32.Polipos v1.2 by Joseph

Reparación manual

Antivirus

Actualice su antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros (en NOD32 Scanner seleccione "Analizar y desinfectar").

NOTA: Debido a la acción destructiva del virus, los archivos infectados deberán ser borrados, y luego reemplazados desde un respaldo anterior limpio, o por medio de la reinstalación de los programas afectados.


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com