Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/HLLO.Rozak. Virus de destrucción directa
 
VSantivirus No. 599 - Año 6 - Martes 26 de febrero de 2002

 W32/HLLO.Rozak. Virus de destrucción directa
http://www.vsantivirus.com/rozak.htm

Nombre: W32/HLLO.Rozak
Tipo: Virus de acción directa
Alias: Win32.HLLO.Rozak
Fecha: 25/feb/02
Tamaño: 28 Kb aprox.
Fuente: Kaspersky

Se trata de un peligroso y destructivo virus con formato PE de Windows, escrito en Visual C++.

No posee rutina de propagación ni queda residente en memoria luego de su ejecución. Tampoco modifica el registro ni ningún archivo de inicio para autoejecutarse al iniciarse Windows.

Solo basta que el usuario haga doble clic sobre él, para que la acción destructiva del virus se lleve a cabo.

Si ello ocurre, el virus utiliza un contador interno para llevar a cabo sus siguientes pasos.

De acuerdo a ese contador, primero, busca o bien todos los archivos en todos los directorios del disco, o solo los archivos con las siguientes extensiones:

.exe
.avi
.mp3
.doc
.zip
.rar
.mpg
.mpg4

La búsqueda se realiza en las unidades de disco C:, D:, E: y F: (o las que existan).

Todos los archivos con estas condiciones (recuerde que pueden ser todos los archivos de los discos duros, o aquellos con las extensiones vistas arriba), son sobrescritos con el código del virus. La única manera de recuperarlos luego de esto, es o bien mediante un respaldo (suponiendo se pudiera ingresar correctamente a Windows), o bien mediante una reinstalación de todo el sistema.

Cuando el virus es ejecutado, busca la presencia de un archivo NEH.DLL. Si este archivo existe, el virus muestra el siguiente mensaje y finaliza su acción: 

  +------------------------+
  ¦Error                   ¦
  +------------------------¦
  ¦Brak biblioteki: neh.dll¦
  +------------------------+

Luego de la infección y sobrescritura de archivos que ya vimos, el virus muestra el siguiente mensaje: 

  +--------------------------------------------+
  ¦WIN_KACZOR virus                            ¦
  +--------------------------------------------¦
  ¦I have just raped your drives...            ¦
  ¦I feel sorry, but my desires are stronger...¦
  +--------------------------------------------+

O en ocasiones, puede mostrar estos dos mensajes: 

  +--------------------------------------------------+
  ¦Kwa!                                              ¦
  +--------------------------------------------------¦
  ¦Co chcia¦oby sie uruchomic programik?             ¦
  ¦Nic z tego. Kaczor mowi: ZAGRAJ W SETTLERS IV!!!!!¦
  +--------------------------------------------------+


  +--------------------------------------------+
  ¦Kwa! Kwa!                                   ¦
  +--------------------------------------------¦
  ¦WIN_KACZOR                                  ¦
  ¦by Nijamormoazazel                          ¦
  ¦J=zef=w POLSKA                              ¦
  ¦                                            ¦
  ¦ And what Symantec? BloodHound doesn't work?¦
  +--------------------------------------------+

Aunque el virus no puede transmitirse por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.

También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc.

Debido a sus características, los archivos sobrescritos no pueden ser desinfectados (ya no existe el archivo original, ya que es suplantado por el código del propio virus). De ese modo, la única manera de recuperar el sistema es realizar una reinstalación de Windows, o recuperar los archivos desde una copia de respaldo.

En ambos casos, ejecute dos o más antivirus luego del proceso de recuperación.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario

ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS