Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VCL/PearlHarbor.959. Recuerda al ataque japonés
 
Nombre: VCL/PearlHarbor.959
Tipo: Virus de compañía
Alias: VCL.PearlHarbor, VCL.Pearl Harbour.959
Fecha: 8/oct/01
Tamaño: 959 Bytes

Esta versión es una variante encriptada del virus de DOS, VCL.PearlHarbor. El nombre está basado en su acción maliciosa (payload).

Cuando se activa, el virus busca archivos ejecutables en el raíz y en todas las carpetas y subcarpetas de la unidad de disco actual, y crea una copia de si mismo con el nombre del ejecutable, pero con la extensión .COM

Como el sistema operativo normalmente ejecutará las extensiones .COM antes que las .EXE, cada vez que el usuario ejecute una aplicación, se ejecutará antes el virus.

Por ejemplo, al encontrar el archivo NOTEPAD.EXE (el bloc de notas), el virus se copia en la misma carpeta como NOTEPAD.COM. De este modo, si desde Inicio, Ejecutar tecleamos NOTEPAD, el .COM se ejecutará en lugar del .EXE. Esto también funciona desde la línea de comandos del DOS. Sin embargo, si ejecutamos NOTEPAD (en este caso), desde un acceso directo, se ejecuta correctamente el .EXE, puesto que en las propiedades del acceso, suele incluirse el camino y el nombre completo, ignorándose en este caso el .COM. Esto disminuye el riesgo de propagar la infección.

Se trata por lo tanto de un virus de compañía (companion). Se les llama así a los virus que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo).

La rutina maliciosa del virus se activa el 7 de diciembre de cualquier año, como conmemoración del ataque japonés a la flota estadounidense en Pearl Harbor. Si la fecha actual es 7 de diciembre, entonces el virus muestra el siguiente mensaje:

December 7th, 1941 -- A day that will live in infamy...

*** REMEMBER PEARL HARBOUR ***

El virus posee algunas técnicas para impedir ser desensamblado (técnica antidebugging). Una de estas, deshabilita el teclado. La única manera de volverlo a activar será reiniciando la computadora.

Para quitar el virus de una PC infectada, ejecute un antivirus actualizado, y borre todos los archivos que sean identificados como VCL.PearlHarbor.959 o VCL.PearlHarbor.


Fuente: Symantec

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS