Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Chiton. Una familia de infectores directos
 
VSantivirus No. 628 - Año 6 - Miércoles 27 de marzo de 2002

 W32/Chiton. Una familia de infectores directos
http://www.vsantivirus.com/chiton.htm

Nombre: W32/Chiton
Tipo: Virus infector de archivos
Plataforma: Windows 32-bit
Fecha: 12/mar/02
Tamaño: archivos infectados aumentan en 6,300 bytes
Fuente: NAI

Alias:

W32.Shrug.gen
W32/Gini
Win32.Rugs
Win32/Gem.2065
Win32/ou812


Chiton es un virus de la familia de los infectores directos (infectan cada vez que se ejecutan).

Después de ejecutar un archivo infectado, el virus infectará todos los ejecutables en formato PE de 32 bit (.EXE, .DLL, .SCR, etc.), en el directorio actual y en todos los subdirectorios que cuelguen del actual.

Los miembros conocidos de la familia Chiton son:
  • W32/Chiton.a (alias Chthon)
  • W32/Chiton.b (alias Shrug)
  • W32/Chiton.c (alias Out812)
  • W32/Chiton.d (alias Efish)
  • W32/Chiton.e (alias Gemini)

Bajo plataformas NT/2000 y XP, el virus W32/Chiton.a y W32/Chiton.b son capaces de infectar archivos .EXE por medio de llamadas al Thread Local Storage. Parece ser el primer virus conocido que utiliza esta técnica de replicación.

W32/Chiton.a libera un archivo llamado "CHTHON.EXE" en el directorio "\windows". Por ejemplo:

C:\windows\chthon.exe (en Windows 9x y Me)
C:\winnt\chthon.exe (en Windows NT, 2000 y XP)

El tamaño del archivo liberado es de 2,387 bytes.

W32/Chiton.c libera un archivo llamado "VB6ENG.DLL" en el directorio "\windows", con un tamaño de 2,094 bytes.

W32/Chiton.e crea el archivo "GEMINI.EXE" también en "\windows". Su tamaño es de 2,788 bytes. Cuando el virus está activo, es visualizado como un proceso (gemini) si se pulsa CTRL+ALT+SUPR).

Todas las variantes, excepto las A y E, tienen su código encriptado. En estas dos, con un simple editor hexadecimal es visible la cadena "roy g biv".

El virus solo se activa cuando es ejecutado manualmente por el usuario. Y aunque no tiene la capacidad de poderse transmitir por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.

También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Repare o borre los archivos detectados como infectados por W32/Chiton (en el caso de borrar archivos, seguramente deberá reinstalar algunas aplicaciones. Tome nota de cuáles cuando el antivirus le muestre la lista de archivos infectados).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS