|
VSantivirus No. 518 - Año 6 - Sábado 8 de diciembre de 2001
Nombre: W32/SchoolGirl
Tipo: Virus de archivos ejecutables
Alias: W95.SchoolGirl.910
Tamaño: 910 bytes
Fecha: 4/dic/01
Este virus afecta archivos ejecutables Win 32, y solo puede propagarse bajo Windows 95/98/Me.
Si se ejecuta bajo Windows NT/2000/XP, no hace nada más que transferir el control al programa infectado, pero no se replica.
Este virus infecta todos los archivos con extensiones .EXE, .OCX
y .SCR de todos los discos duros locales, y unidades compartidas en red.
Debido a la forma en que el virus modifica a los archivos infectados, el mismo puede dañar o corromper los archivos ejecutables autoextraíbles y algunos instaladores, como los creados con InstallShield.
El virus posee además dos rutinas maliciosas (payloads).
Una se activa el día 16 de cada mes, y simplemente abre en el navegador la página principal de la
Sichuan University of Science and Technology de China.
El segundo payload se activa solo si el año es 2002 o superior, los días 17 de cualquier
mes. Esta rutina borra todos los ejecutables de todos los discos duros de las unidades locales y las mapeadas en red.
Más allá de esta acción destructiva, el virus es muy peligroso aún en este momento, por el daño causado al infectar ejecutables, debido a su mala programación.
El virus corrompe a los ejecutables que infecta, lo que resulta casi siempre fatal para aquellos ejecutables del tipo comprimidos autoextraíbles, o instaladores.
No respeta los overlays (parte del código de un programa que puede estar en un archivo independiente, pero que debe tener una construcción específica debido a los accesos directos a direcciones de memoria). Además, siempre agrega su código de
910 bytes a los archivos que infecta, lo que en muchos casos significa que el mismo será llenado con basura.
El virus contiene el siguiente texto en su código:
Beautiful School Ver4.0 By Who Hooks Girl?
Para remover este virus de un sistema infectado, ejecute uno o dos antivirus actualizados y examine todos los ejecutables de todos sus discos duros y unidades de discos compartidas en red.
Intente la opción "Reparar" de su antivirus cuando encuentre archivos infectados por el virus.
Sin embargo, recuerde que debido a las características explicadas antes, algunos ejecutables reparados, pueden presentar errores durante su ejecución, al
haber sido corrompidos por el virus. En estos casos, reemplace o reinstale las aplicaciones que presenten errores durante su funcionamiento.
Aunque el virus no puede transmitirse por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.
Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Fuente: Symantec
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|