Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Themba. Copia archivos infectados en el escritorio
 
VSantivirus No. 336 - Año 5 - Sábado 9 de junio de 2001

Nombre: W32/Themba
Tipo: Infector ejecutables Win32
Tamaño: 32,258, 32,259 bytes
Alias: W32.HLLP.Thembe, W32/Themba
Fecha: 7/jun/01

Este virus está escrito en Visual Basic, y es capaz de infectar todos los archivos ejecutables con extensión .EXE que sean usados cuando el virus esté activo en memoria. También infecta los .EXE presentes en el mismo directorio donde se ejecute el archivo del virus.

Si la fecha actual de la computadora fuera el día 9 de los meses de octubre o de diciembre, el virus mostrará una ventana de mensajes con estos datos, junto a una caricatura como fondo:
Lennon Virus By The WalruS
The Walrus Lennon Virus

También es capaz de generar muchas copias de si mismo en el escritorio de Windows, con los mismos nombres de los ejecutables .EXE encontrados en la carpeta C:\WINDOWS. Esta es una lista de algunos de archivos que cumplen esas condiciones:

CALC.EXE
CDPLAYER.EXE
CLEANMGR.EXE
CLSPACK.EXE
CVT1.EXE
CVTAPLOG.EXE
DIRECTCC.EXE
DRWATSON.EXE
EXPLORER.EXE
FONTVIEW.EXE
GRPCONV.EXE
HH.EXE
HWINFO.EXE
JVIEW.EXE
KODAKIMG.EXE
KODAKPRV.EXE
MM2ENT.EXE
MPLAYER.EXE
NOTEPAD.EXE
PACKAGER.EXE
PBRUSH.EXE
PIDSET.EXE
REGEDIT.EXE
RG2CATDB.EXE
RUNDLL32.EXE
SCANREGW.EXE
SETDEBUG.EXE
SIGVERIF.EXE
SNDREC32.EXE
SNDVOL32.EXE
TASKMAN.EXE
TASKMON.EXE
TOUR98.EXE
TUNEUP.EXE
UPWIZUN.EXE
VCMUI.EXE
WELCOME.EXE
WINHLP32.EXE
WINIPCFG.EXE
WINREP.EXE
WRITE.EXE
WSCRIPT.EXE
WUPDMGR.EXE
CONTROL.EXE
DEFRAG.EXE
DIALER.EXE
DOSREP.EXE
EMM386.EXE
EXTRAC32.EXE
FREECELL.EXE
MSHEARTS.EXE
NET.EXE
NETDDE.EXE
PROGMAN.EXE
PROTMAN.EXE
RUNDLL.EXE
SCANDSKW.EXE
SMARTDRV.EXE
SOL.EXE
WINFILE.EXE
WINHELP.EXE
WININIT.EXE
WINMINE.EXE
WINPOPUP.EXE
WINVER.EXE

Recuerde que todos estos archivos son creados por Windows o por alguna aplicación en dicha carpeta (C:\Windows), por lo que su presencia en Windows no significa la presencia de un virus.

 Sin embargo, las copias de los mismos en el escritorio (C:\WINDOWS\Escritorio), es muy probable se deba al W32/Themba.

El icono en este caso de todos ellos, es una pequeña caricatura de un supuesto Lennon.

Cuando un archivo infectado es ejecutado, el virus copia el código original del .EXE a un archivo con el mismo nombre, pero con la extensión .WAL. Por ejemplo, NOMBRE.EXE será copiado como NOMBRE.WAL.

Luego que el virus termina su acción, se ejecuta el verdadero programa, ahora con extensión .WAL, de modo que el usuario no notará su acción.

Para limpiar este virus de un sistema infectado, deberá ejecutar primero uno o más antivirus actualizados. Se sugiere su limpieza bajo MS-DOS con F-Prot desde un disquete de inicio, como se explica en nuestro sitio:

VSantivirus No. 158 - 13/dic/2000
 Cómo ejecutar F-PROT en un disquete (actualizado)

(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS