Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
W95/Spaces.1445. Capaz de borrar el Master Boot Record
|
|
VSantivirus No. 159 - Año 4 - Jueves 14 de diciembre de 2000
Nombre: W95/Spaces.1445
Tipo: Infector de archivos ejecutables Win32
Alias: PE_Spaces.1445, W95/Busm.1445, Spaces.1445
Tamaño: 1,445 bytes
Fuente: Trend Micro
Es un destructivo virus capaz de eliminar el Master Boot Record (MBR) del disco duro en determinada fecha. Puede funcionar bajo Windows 9x y NT 4.0.
Cuando se ejecuta, este virus busca copias de si mismo en la memoria. Utiliza una función del sistema de bajo nivel para hacerlo, o la función VxD llamada
VXDCALLFSMGR_GET_VERSION. Si no encuentra ninguna copia, se pone residente en memoria.
Una vez allí, es capaz de infectar todos los archivos .EXE que son ejecutados por el usuario o por el sistema.
La infección la realiza agregándose a si mismo al final de la última sección del archivo .EXE, aumentando su tamaño en 1,445 bytes, el tamaño del código del virus.
Si la fecha del sistema es 1 de Junio de cualquier año, el virus es capaz de modificar el
Master Boot Record (MBR) del disco duro, causando la pérdida de datos y la falla del sistema, así como la imposibilidad de reiniciar desde el disco C:\
El Master Boot Record (MBR), es el primer sector del disco duro (512 bytes), y determina la localización de datos importantes, como por ejemplo cuál es la partición activa del disco (la unidad que "bootea"), etc. Además es el encargado de pasar el control al sector de arranque del sistema operativo instalado en dicha partición. Su eliminación, impide el arranque y reconocimiento del contenido del disco.
Reparación manual de archivos infectados
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecúte sus antivirus en modo escaneo, revisando todos sus discos
3. Repare los archivos detectados como infectados
Reparación de Master Boot Record
Cómo procedimiento de limpieza, debería apelar a la recuperación de un respaldo limpio del MBR. En caso de no tenerlo, intente la técnica mencionada en este artículo:
Boletín técnico: FDISK /MBR y los virus
http://www.vsantivirus.com/fdisk-mbr.htm
Borre el archivo que contenga el troyano.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo".
6. Pinche en "Aplicar" y en "Aceptar".
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones: 3/ene/03
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|