Virus: Pe_Wit.A. Infecta .EXE de Win32 y los renombra a .WX3

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 187 - Año 5 - Jueves 11 de enero de 2001

Nombre: Pe_Wit.A
Tipo: Virus infector de ejecutables Win32 (PE)
Alias: WIT.A
Tamaño: 4,096 bytes

Se trata de un virus "de compañía" o "companion" (se les llama así a los virus que modifican el nombre de los archivos originales y toman el lugar de estos, de modo que cuando el programa original es llamado, en realidad se ejecuta primero el virus). Infecta solo los archivos .EXE del formato PE (Portable Executable). Luego de la infección, los archivos .EXE son renombrados como .WX3.

Cuando el virus se ejecuta, se copia a si mismo a la carpeta C:\WINDOWS\SYSTEM, con el nombre de DXINIT3D.EXE.

Luego modifica las siguientes entradas del registro, para poder ser ejecutado cada vez que un archivo infectado es abierto:

HKCR\exefile\shell\open\command\
(Predeterminado)="C:\WINDOWS\SYSTEM\DXINIT3D.EXE&"/I&E%1%*""

HKLM\Software\CLASSES\exefile\shell\open\command
(Predeterminado)="C:\WINDOWS\SYSTEM\DXINIT3D.EXE"/I&E%1%*""

El virus se copia también en los archivos infectados, y modifica su extensión original (.EXE), por la de .WX3.

Los archivos infectados contienen la siguiente cadena de texto:

[X3] by Wit AKA CyberViper.2000

Para limpiarlo manualmente

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

2. En el panel de la izquierda, pulse en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
CLASSES
exefileshell
open
command

3. En el panel de la derecha, busque lo siguiente:

(Predeterminado)= "C:\WINDOWS\SYSTEM\DXINIT3D.EXE" /I&E %1 %*""

4. Marque esta clave y pulse la tecla SUPR o DELETE. Conteste SI a las preguntas que saldrán y salga de REGEDIT.

5. Revise su sistema con un antivirus al día.

Fuente: Trend Micro