|
VSantivirus No. 1240 Año 8, Sábado 29 de noviembre de 2003
W32/Gogo.B. Renombra todos los *.EXE a *.EX1
http://www.vsantivirus.com/gogo-b.htm
Nombre: W32/Gogo.B
Tipo: Virus de compañía
Alias: Gogo, W32/Gogo.cmp
Fecha: 28/nov/03
Plataforma: Windows 32-bit
Tamaño: 40,960 bytes
Reportado por: Network Associates
Se trata de un virus de compañía. Se les llama virus de compañía (companion virus), a aquellos que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo).
Cuando un archivo infectado es ejecutado, el mismo renombra todos los archivos .EXE a .EX1, y se copia con el nombre original.
Por ejemplo, un archivo llamado NOMBRE.EXE es renombrado como NOMBRE.EX1, y el virus se copia como NOMBRE.EXE. Cuando el usuario o el sistema ejecuta a NOMBRE.EXE, se ejecuta el virus, que hace su rutina infectora, y luego "le pasa" el control al programa original, en NOMBRE.EX1.
El virus busca .EXE para infectar en todas las siguientes unidades, locales o mapeadas:
C:, D:, E:, F:, G:, H:, I:, J:, L: y M:
Los archivos .EXE en las carpetas Windows, WinNT, System y System32, no son infectados.
Tampoco es infectado el archivo IEXPLORE.EXE (el ejecutable del Internet Explorer, ubicado generalmente en C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\.
Por algunos errores en su código, algunos archivos son renombrados como *.EX1, pero no se crea la copia del virus con el nombre *.EXE.
Una correcta limpieza, implica renombrar todos los archivos *.EX1 a *.EXE, luego de eliminar los ejecutables infectados (en realidad el propio virus).
Reparación manual
Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus
4. Si el antivirus no lo hace, se deberían renombrar todos los archivos *.EX1 a *.EXE, en todas las carpetas y discos de la letra C: a la letra M: inclusive.
NOTA: Esta tarea puede ser bastante complicada, y es muy probable se tenga que reinstalar Windows y las diferentes aplicaciones y programas afectados, para volver el sistema a su normalidad.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|