|
VSantivirus No. 1178 Año 7, Domingo 28 de setiembre de 2003
Andry.565, Andry.2900. Infectores residentes en memoria
http://www.vsantivirus.com/andry.htm
Nombre: Andry.565, Andry.2900
Tipo: Virus infector de ejecutables
Alias: Andry
Fecha: 26/set/03
Tamaños: 565 bytes, 2,900 bytes
Este virus fue creado en 1997, pero ha sido reportado recientemente por algunos usuarios infectados. No posee rutina de propagación, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargada de sitios maliciosos, o a través de redes P2P.
º Andry.565
Se trata de un inocuo virus residente en memoria. Se engancha a la interrupción INT 21h y se escribe él mismo al final de los archivos .COM que son ejecutados. No realiza ninguna otra modificación en un sistema infectado.
Su código, contiene el siguiente texto:
ViRuZ by Andry Christian
º Andry.2900
Esta versión, es un peligroso virus residente en memoria del tipo parásito (Parasitic virus). Un virus parásito, es aquel que requiere de un portador (o host) para propagarse. Se adjunta a otro programa y se activa cuando ese programa es ejecutado.
Este virus, se engancha a las funciones INT 9 y 21h, y se escribe a si mismo al final de todo archivo .COM y .EXE que es ejecutado. Después de infectar un archivo, el virus intenta infectar el COMMAND.COM en el directorio raíz del disco actual.
El virus posee errores, e infecta los archivos dos o más veces. También se instala en la memoria cada vez que un programa infectado se ejecuta. Como resultado, en poco tiempo la memoria DOS queda ocupada por el virus, y el sistema no carga ninguna aplicación.
También intercepta la función INT 9, correspondiente al teclado, y cuenta las teclas pulsadas por el usuario. Cuando el contador indica 100, dicha pulsación es "comida" por el virus.
Si el virus se ejecuta el primer día de marzo de cualquier año, muestra un mensaje con el siguiente texto escrito en ASCII a gran tamaño:
ANDRY CHRISTIAN
Al ejecutarse el 2 de marzo, muestra este otro mensaje:
ANDRY CHRISTIAN VIRUS WILL BE -->
ACTIVE NEXT YEAR !
El virus también contiene el siguiente texto en su código:
~INA (c) 1997 Hackware Technology Research~
Return to the Virus Information Library
Para limpiar su PC
Si su PC se infecta, ejecute uno o más antivirus al día para desinfectarlo. Cómo el virus puede estar residente en memoria, se sugiere iniciar su PC desde un disquete, y proceder a la limpieza del mismo con un antivirus como el F-Prot, tal como se indica en nuestro sitio:
Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|