Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: WM97/Chronic-A. Borra el CMOS, libera un troyano
 
VSantivirus No. 188 - Año 5 - Viernes 12 de enero de 2001

Nombre: WM97/Chronic-A
Tipo: Virus de macro de Word 97

Se trata de un virus que posee un complejo mecanismo, el que bajo ciertas condiciones, puede llegar a borrar los valores de la CMOS. Estos valores incluyen datos como la hora y la fecha, y sobre todo, la información necesaria para que el sistema sea reconocido al encenderse la PC, datos como tipo de hardware instalado, discos duros, etc.

Una vez activo, el virus inicia un contador del número de veces que el código viral es ejecutado. Cada 25 ejecuciones (25, 50, 75, etc.), el virus dispara su rutina maliciosa (payload).

Esta rutina realiza una compleja serie de chequeos de la fecha, en la parte que corresponde al día.

Si el día puede ser dividido exactamente por 5, el virus intentará poner un password de lectura al documento actual. Esta clave generalmente será: "1297307460".

La parte principal de la rutina maliciosa del virus, consiste en la modificación de los primeros 1020 bytes de algunos archivos específicos, a los que además se les agregará el texto: "Karachi_y2k7". Estos archivos solamente se encontrarán en Windows 95 y 98.

Cada vez que la rutina "payload" del virus es ejecutada los siguientes archivos son afectados:

C:\WINDOWS\SOL.EXE
C:\WINDOWS\MSHEARTS.EXE
C:\WINDOWS\FREECELL.EXE 

Si el día puede ser dividido exactamente por 3, los siguientes archivos serán afectados:

C:\WINDOWS\ROUTE.EXE
C:\WINDOWS\PING.EXE
C:\WINDOWS\SYSTEM\NETOS.DLL
C:\WINDOWS\SYSTEM\NETDI.DLL
C:\WINDOWS\SYSTEM\NETBIOS.DLL
C:\WINDOWS\SYSTEM\NETAPI.DLL
C:\WINDOWS\SYSTEM\NETAPI32.DLL

Si el día puede ser dividido exactamente por 3 y por 6, los siguientes archivos son afectados:

C:\WINDOWS\SYSTEM\NETCPL.CPL
C:\WINDOWS\SYSTEM\INETCPL.CPL
C:\WINDOWS\SYSTEM\MODEM.CPL
C:\WINDOWS\SYSTEM\URL.DLL
C:\WINDOWS\SYSTEM\SENDMAIL.DLL
C:\WINDOWS\SYSTEM\MAPI32.DLL
C:\WINDOWS\SYSTEM\INETCOMM.DLL
C:\WINDOWS\SYSTEM\INETCFG.DLL
C:\WINDOWS\SYSTEM\INETAB32.DLL
C:\WINDOWS\SYSTEM\INET16.DLL

Si el día puede ser dividido exactamente por 3, por 6 y por 9, los siguientes archivos son afectados:

C:\WINDOWS\SYSTEM\LPT.VXD
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MSPRINT.DLL
C:\WINDOWS\SYSTEM\MSPRINT2.DLL

Si el día puede ser dividido exactamente por 2, el virus intentará imprimir entre 1 y 9 copias del documento actual.

Si el día puede ser dividido exactamente por 4, el virus modificará el archivo C:\WINDOWS\WIN.COM para que contenga el troyano Troj/KillCMOS-E, el cuál es capaz de sobrescribir los datos del CMOS con basura. Esto funcionará la próxima vez que Windows sea reiniciado.

Si el día puede ser dividido exactamente por 6, el virus copiará el archivo C:\WINDOWS\WIN.COM como WIN.ORG, y creará un nuevo C:\WINDOWS\WIN.COM con el troyano Troj/KillCMOS-E, el cuál es capaz de sobrescribir los datos del CMOS con basura. Esto funcionará la próxima vez que Windows sea reiniciado.

Descripción del troyano liberado por WM97/Chronic-A

Nombre: Troj/KillCMOS-E
Tipo: Caballo de Troya

Este troyano, el cuál es liberado (dropped) por el virus WM97/Chronic-A, es capaz de sobrescribir el seteo del CMOS con datos tomados al azar. Esto hará que la computadora no arranque al reiniciarse, y se genere un error del tipo "Cheksum Error".

Fuente: Sophos

 

Copyright 1996-2001 Video Soft BBS