Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32.Kriz. Un peligroso regalo de Navidad
 
VSantivirus No. 165 - Año 4 - Miércoles 20 diciembre de 2000

Virus: W32.Kriz
Alias: W32.Kriz, W32.Kriz.dr, PE_KRIZ
Tipo: Virus
Fecha: 11/ago/99
Variantes: W32.Kriz.3862, W32.Kriz.3863, W32.Kriz.3863.b, W32.Kriz.3740, W32.Kriz.4050, W32/Kriz.4092.

Este virus no es nuevo, pero sin embargo, su poder destructivo, que se activa cada 25 de diciembre, hace que debamos tomar las precauciones respectivas.

Infecta archivos en Windows 9x, NT y 2000.

El 25 de diciembre de cada año, el virus puede borrar todos los archivos en sus unidades de disco, disquetes, unidades compartidas de red, RAM, etc.

También puede borrar la información guardada en el BIOS, en forma similar a como lo hace el W95.CIH, impidiendo el inicio de la computadora luego de ello.

Se ha informado un gran aumento de incidencias de este virus, desde octubre de este año a la fecha, lo que hace pensar que el próximo 25, podrían ser muchos los usuarios afectados.

Esto ha sido ayudado por el hecho de que numerosos gusanos, han distribuido a su vez, como parte de su propia rutina maliciosa, a este virus y a sus versiones.

W32.Kriz funciona en todas las versiones de Windows (9x, NT y 2000). Infecta archivos ejecutables de Windows, con formato PE (Portable Executable). Se mantiene en memoria, e infecta cualquier archivo de este tipo que sea abierto por el usuario o por alguna aplicación.

Si usted se infecta con este virus, debe reiniciar su computadora desde un disquete limpio para proceder a su desinfección, no lo haga con el virus residente en memoria, desde Windows. Ni siquiera desde una ventana de MS-DOS. Las instrucciones dadas en nuestro sitio para usar el antivirus F-PROT desde un disquete, podrán serle de utilidad. Le recomendamos imprimirlas y seguirlas paso a paso.

El virus modifica el archivo KERNEL32.DLL, el corazón de Windows. Si este archivo es infectado, debe ser recuperado desde el CD de Windows, o desde un respaldo limpio, luego de la desinfección del resto de su PC, como indicamos antes.

Debido a las modificaciones hechas por el virus, ni este ni otros archivos podrán ser reparados, debiendo ser reemplazados. Otros archivos importantes de Windows, también deberán ser recuperados de esta forma, ya que es imposible limpiarlos.

Cuando el virus se ejecuta por primera vez, revisa si el archivo KERNEL32.DLL ya ha sido infectado. Si no lo ha sido, el virus copia el archivo KERNEL32.DLL a C:\WINDOWS\SYSTEM\ con el nombre de KRIZED.TT6. Una vez allí, infecta y modifica la copia. También crea el archivo C:\WINDOWS\WININIT.INI el cuál contiene un par de líneas:

[rename]
C:\WINDOWS\SYSTEM\KERNEL32.DLL=C:\WINDOWS\SYSTEM\KRIZED.TT6

Esto hace que al reiniciarse Windows, el KERNEL32.DLL original será reemplazado por el infectado.

La copia infectada del KERNEL32.DLL permite al virus engancharse a las siguientes funciones API:

CopyFileA
CopyFileW
CreateFileA
CreateFileW
CreateProcessA
CreateProcessW
DeleteFileA
DeleteFileW
GetFileAttributesA
GetFileAttributesW
MoveFileA
MoveFileW
MoveFileExA
MoveFileExW
SetFileAttributesA
SetFileAttributesW

Esto causa que cualquier archivo PE de Windows, cuando se ejecute, copie, mueva o revise con algún antivirus, sea infectado por el virus.

El código del virus también contiene un poema con contenido bastante "profano", el cuál nunca se muestra, y que tampoco es usado por ninguna de las rutinas que el virus ejecuta.

Estas son las variantes del virus, las que cambian muy poco entre si.

* W32.Kriz.3862
* W32.Kriz.3863

Acceden a más tipos de unidades cuando sobrescriben archivos. También difieren en su método de infección. Agregan su código al final de los archivos infectados.

* W32.Kriz.3863.b

Es similar a las anteriores, pero contiene al final de su código, texto corrupto.

* W32.Kriz.3740

Crea en los archivos infectados, una nueva sección llamada "…" y copia allí su código.

* W32.Kriz.4050

La descripción de esta variante está en VSantivirus No. 154 - Año 4 - Sábado 9 de diciembre de 2000 (Pe_Kriz.4050)

* W32/Kriz.4092

Posee pequeñas diferencias en el tamaño

Todas las versiones tienen la misma rutina destructiva. Si la fecha es 25 de diciembre de cualquier año, el virus modifica la flash BIOS de la computadora. Esto impide el inicio de la misma, y requiere generalmente un cambio del mother para recuperar el uso de la PC.

Toda la información del CMOS de la computadora, o sea los datos como la fecha, hora y tipo de discos y otras unidades instaladas, serán borrados.

También intentará borrar el disco duro escribiendo en forma directa algunos sectores del mismo. Si ello tiene éxito, la computadora no podrá reiniciarse ni desde el disco duro, ni desde un disquete. Esta acción destructiva es muy similar a la del virus CIH. Además, en ciertos casos, el virus modificará de tal modo el archivo infectado, que éste no podrá ser desinfectado.

Para limpiar el W32.Kriz de su sistema

Note que si la rutina que se dispara el 25 de diciembre, ya lo ha hecho, no podrá "limpiar" ningún sistema, porque probablemente debe cambiar su placa madre y reinstalar todos sus programas.

Por ello, examine antes su computadora. Siga los pasos descriptos en nuestro sitio para limpiar la computadora iniciando F-PROT desde un disquete (Ver: "13/dic/00 - Cómo ejecutar F-PROT en un disquete (actualizado)", o en nuestro boletín VSantivirus No. 158 - Año 4 - Miércoles 13 diciembre de 2000.

Si detecta la infección con este virus, reemplace desde el CD o desde un respaldo limpio, los archivos KERNEL32.DLL, y otros que Windows identifique como corruptos, después de la desinfección. En Windows 98 y 2000, puede utilizar la utilidad SFC para recuperar estos archivos.

Borre el archivo KRIZED.TT6 si aparece en su computadora.

Los usuarios de NT, deberán utilizar una herramienta como NTSF Pro para acceder a los archivos desde DOS bajo NTFS.

Fuentes: Symantec, McAfee


 Ver también:
19/ago/99 - Virus: W32/Kriz. Se activa un 25 de diciembre
09/dic/00 - Pe_Kriz.4050. Actúa casi de igual forma que el CIH

 

Copyright 1996-2000 Video Soft BBS