|
VSantivirus No. 930 - Año 7 - Jueves 23 de enero de 2003
W32/Ditex. Virus residente en memoria y caballo de Troya
http://www.vsantivirus.com/ditex.htm
Nombre: W32/Ditex
Tipo: Virus residente en memoria y caballo de Troya
Alias: Win32.Ditex
Plataforma: Windows 32-bits
Tamaño: 33 Kb.
Fecha: 22/ene/03
Es un virus residente en memoria, escrito en Microsoft Visual C++.
Infecta archivos en formato PE (Portable Executable) con extensión .EXE, encriptándose y copiándose al final del archivo infectado.
El código del virus posee dos bloques, el "dropper" y el código principal.
"Dropper" (cuentagotas), es aquel código que cuando se ejecuta "gotea" o libera a un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".
Cuando un archivo infectado se ejecuta, el "dropper" toma el control, desencriptándose a si mismo y luego al bloque principal, para finalmente "liberar" dicho bloque, el cuerpo principal del virus.
El cuerpo del virus se copia como TDI.SYS en la carpeta Windows:
C:\Windows\TDI.SYS
TDI.SYS se ejecuta, y busca archivos .EXE en formato PE, en todos los directorios, y los infecta al encontrarlos, repitiendo el ciclo cada vez que uno de esos archivos infectados se ejecuta.
El virus contiene una rutina de caballo de Troya del tipo Backdoor, que abre una conexión a Internet, habilitando una puerta trasera a un intruso para acceder a la computadora infectada. Ejecuta una rutina que queda a la espera de las ordenes de este intruso, teniendo la capacidad de enviar o recibir archivos, ejecutar programas, enviar información del usuario actual, etc.
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|