Virus: W32/BlueBall.A. El 25 de diciembre, pelotas azules

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 528 - Año 6 - Martes 18 de diciembre de 2001

Nombre: W32/BlueBall.A
Tipo: Infector de ejecutables
Alias: W95/BlueCorners.2049, Win32.BlueBall.4117, Win32/Bballs, PE_BLUEBALL.A, W95/Blueblobs, W95.BlueCorners
Tamaño: 2049 bytes
Fecha: 21/jun/01

Es un simple y rápido infector de ejecutables, capaz de funcionar solamente bajo Windows 9x. Si se ejecuta en Windows NT falla en su acción.

Si un archivo infectado se ejecuta, el virus ejecuta el programa que le sirve de host, en un proceso separado, y luego infecta a todos los ejecutables .EXE de la misma unidad de disco donde se ejecutó el archivo del virus. Si esta unidad es diferente a la C, entonces también infecta todos los ejecutables de la unidad C.

El virus no permanece residente en memoria, pero utiliza una dirección de memoria específica (asignada por defecto al sistema operativo), como marca para infectar o no el sistema. Es decir, cuando el sistema se reinicia, y se ejecuta un archivo infectado por primera vez, se procede a infectar otros archivos mientras ese programa se ejecuta (en un proceso diferente al del virus). Luego, se coloca la marca antedicha en la memoria, de modo que las próximas aperturas de otros archivos infectados, no produzcan una nueva infección.

El uso de esta posición de memoria, puede ocasionar que el sistema falle esporádicamente, congelándose o reiniciándose, ya que dicha dirección, es utilizada en ciertos momentos por el propio sistema.

Otro uso dado a esta marca en la memoria, se produce cuando el sistema posee más de 4 unidades de disco lógicas asignadas. En ese caso, intentará infectar otros archivos cada vez que se activa.

El virus posee una rutina no maliciosa, que se activa si la fecha actual es alguna de las siguientes:

1 de enero
14 de febrero
1 de abril
4 de mayo
1 de octubre
25 de diciembre

Si la fecha coincide, entonces el virus genera una serie de pequeñas esferas azules animadas, que surgen desde las cuatro esquinas de la pantalla, cubriendo todo el escritorio de Windows. La resolución asumida por el virus es de 800 x 600, de modo que si se está utilizando otra (600 x400, 1024 x 768, etc.), las pelotas azules surgirán en posiciones diferentes a las de las esquinas.

Para limpiar un sistema infectado, deberá ejecutar un antivirus actualizado, seleccionando la opción "desinfectar".

En algunos casos, una limpieza que deje el archivo infectado como se encontraba originalmente es difícil debido a la forma que el virus modifica la estructura interna de los archivos que infecta. Algunos antivirus, simplemente borran el código viral, pero dejan las estructuras como las modificó el virus. El archivo así limpiado funcionará perfectamente, aunque su tamaño será un poco mayor al que tenía antes de la infección.

Para su limpieza se sugiere también el uso de F-Prot desde un disquete de inicio, como se explica en nuestro sitio:

VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete
http://www.vsantivirus.com/fprot-disq.htm

Usuarios de Windows Me:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Ver también:

VSantivirus No. 353 - 26/jun/01
W95/BlueCorners.2049. Pelotas azules en su pantalla
http://www.vsantivirus.com/bluecorners.htm

Fuente: Symantec, Computer Associates

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com