Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W98/Elkern.A. Destructivo virus liberado por el W32/Klez
 
VSantivirus No. 476 - Año 5 - Sábado 27 de octubre 2001

Nombre: W98/Elkern.A
Tipo: Infector de archivos de Windows 98
Alias: W95/Elkern.cav, W32.ElKern.3326, Elkern, PE_ELKERN.A
Fecha: 26/oct/01
Tamaño: 11,722 Bytes, 3326 bytes

W98/Elkern es un virus polimórfico y parásito, capaz de infectar ejecutables en formato PE, y que solo funciona bajo Windows 98 y Me. Su característica es infectar usando las "cavidades" del archivo original, no modificando los tamaños de dicho archivo (esta técnica se denomina "cavity").

Este virus es copiado por el gusano W32/Klez en la carpeta indicada por la variable %System% (por defecto C:\Windows\System), como un archivo oculto de nombre WQK.EXE.

El registro es modificado, para que el virus se ejecute en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WQK = C:\Windows\System\WQK.EXE

El ejecutable del virus no muestra ningún icono. Es capaz de infectar al azar los archivos EXE (solo Portable Executable), sin cambiar sus tamaños, como ya vimos. También infecta todos los ejecutables de la carpeta \System, causando la inestabilidad de Windows.

También puede propagarse a través de una red local.

Si se activa bajo Windows NT/2000, el virus ocasiona un cuelgue del sistema.

Si se activa bajo Windows 9x, y existen recursos de red protegidos contra escritura, el virus ocasionará la caída del sistema luego de un periodo de tiempo relativamente corto, pero no al instante.

La rutina destructiva de este virus, sobrescribe el contenido de los archivos con ceros, haciéndolos irrecuperables (salvo desde un respaldo anterior).

Esta rutina se activa el 13 de marzo o el 13 de setiembre.

Note que el otro gusano (W32/Klez.A), posee una rutina bastante similar, pero que se activa en otras fechas (ver descripción del "W32/Klez.A").

En sistemas Windows 9x, el virus se oculta a si mismo de la lista de tareas (CTRL+ALT+SUPR), haciéndose pasar por un servicio del sistema.

El virus puede llegar a infectar a su propio portador, el gusano W32/Klez que lo copió en esa máquina. 

Además, posee muchas posibilidades de propagación, debido a que está difundido por dicho gusano, el cuál es capaz de enviarse masivamente vía e-mail y a través de redes.

El virus utiliza además estructuras encriptadas, y nombres de funciones que no pertenecen a él, pero que localiza para su uso mediante ingeniosas técnicas.

Vea la descripción del virus W32/Klez, para las instrucciones de como quitar este virus de un sistema infectado.

Referencias:

VSantivirus No. 476 - 27/oct/01
Klez, otro ejemplo de virus que actúa sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

VSantivirus No. 476 - 27/oct/01
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS