|
VSantivirus No. 310 - Año 5 - Lunes 14 de mayo de 2001
Nombre: W32/HLLC.Danny
Tipo: Virus de archivos Win32
Fecha: 10/may/01
Tamaño: 24 Kb
Es un virus de archivos Win32 que solo sobreescribe otros archivos
.EXE. Podría catalogarse como "de compañía"
(companion)(1), aunque no cumple con todas las características de este tipo de virus como veremos más adelante. El virus guarda una copia del archivo original antes de sobrescribirlo. El nombre del archivo copiado es igual al del original, pero con extensión
.ISO. Note que esta acción puede llegar a provocar la falla de Windows.
W32/HLLC.Danny ha sido escrito el lenguaje de alto nivel (high-level language, HLLC).
Cada vez que el virus se ejecuta, el mismo muestra un mensaje con un texto del Hamlet de Shakespeare, en inglés.
Friends both go join you with some further aid:
Hamlet is madness hath Polonius slain,
And from his mother's closet hath he dragg'd him.
Go seek him out, speak fair, and bring the body
Into the Chapel. I pray you haste in this.
Shakespeare, Hamlet
I and A.A Year 2001
[ Aceptar ]
El virus busca luego todos los archivos .EXE en la carpeta actual, y si no lo están, los infecta como se explicó antes (sobreescribiéndolos y renombrándolos).
Como también dijimos antes, en realidad las características de virus de compañía no se aplicarían totalmente en este caso, ya que cuando el archivo infectado se ejecuta, no intenta en ningún momento ejecutar después el archivo original. Solo infecta TODOS los ejecutables en la misma carpeta y finaliza. Esto ocasiona que muchas aplicaciones, o el propio Windows, dejen de funcionar correctamente, ya que los auténticos ejecutables dejarán de estar disponibles.
Para limpiar una infección con W32/HLLC.Danny
Para remover este virus de una computadora infectada, tal vez deba reinstalar Windows (si es que algún archivo necesario para su correcto funcionamiento ha sido infectado).
De cualquier modo, se sugiere el siguiente procedimiento.
Primero, es conveniente asegurarse de poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", pues de lo contrario no verá las extensiones .EXE. Para ello proceda así:
- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
Después siga estos pasos.
1. Ejecute uno o dos antivirus al día en su computadora.
2. Apunte en un papel los nombres de los archivos detectados como infectados, y bórrelos (ya que se trata del propio virus)
3. Pinche en Inicio, Buscar y luego en Archivos o carpetas
4. Asegúrese de que en "Buscar en:" figure "Mi PC"
5. En "Nombre:", escriba: *.ISO
6. Pinche en "Buscar ahora".
7. Por cada archivo encontrado, compárelo si está en la lista recogida en el punto 2 (por ejemplo, un archivo infectado podría ser
PROGRAMA.EXE, y en la búsqueda podría encontrar ahora un archivo
PROGRAMA.ISO). Aunque esta extensión no es muy común, la razón de comparar los nombres es para no renombrar algún archivo
.ISO legítimo.
8. Si está en la lista, pulse en su nombre con el botón derecho y seleccione "Renombrar".
9. Déjele el mismo nombre, pero cambie la extensión de
.ISO a .EXE (en el ejemplo, PROGRAMA.ISO deberá ser renombrado a
PROGRAMA.EXE). Reitere esto por cada archivo encontrado según se explica en los pasos 7, 8 y 9.
10. Se sugiere que luego de estos pasos, también ejecute un antivirus al día, en modo MS-DOS. Se sugiere F-PROT (ver: VSantivirus No. 158 - Año 4 - Miércoles 13 diciembre de 2000, Cómo ejecutar F-PROT en un disquete (actualizado)). Esto debe hacerse tal como se explica en este artículo, necesariamente, iniciando la computadora desde un disquete de inicio limpio.
La llegada del virus a nuestra computadora (o sea la primera infección), puede producirse al ejecutar el propio virus en un archivo
.EXE bajado de Internet, copiado en disquete, etc.
Notas:
(1) Virus de compañía (companion). Se les llama virus de compañía, a los virus que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo). En este caso, no se cumple lo de ejecutar luego el archivo original.
Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy
|
|