Virus: W32/HLLP.Backdoor.Yai. Virus de compañía de origen chino

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 174 - Año 4 - Viernes 29 de diciembre de 2000

Nombre: W32/HLLP.Backdoor.Yai
Tipo: Virus de compañía
Alias: HLLP.Yai, HLLP.Yai.274944, PE_YAI.SER, Trojan.YAI.Mimi.Srv, W32.HLLP.YAI, W32/HLLP-Yai, Win32.HLLP.Yai
Origen: China

Se les llama virus de compañía, a los virus que no infectan directamente a otro, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo).

En este caso, el W32/HLLP.Backdoor.Yai se copia a si mismo con el nombre del archivo original, y renombra a éste con la extensión .TMP. Este archivo (.TMP) es puesto con los atributos de oculto (+H).

Ejemplo:

WRITE.EXE
WRITE.TMP

WRITE.EXE contiene el virus, y WRITE.TMP es el archivo original renombrado. El archivo WRITE.TMP es comprimido durante la infección usando LZH, pero seguirá ejecutándose y funcionando correctamente.

Su método de infección es del tipo "acción directa". Busca e infecta archivos ejecutables en la unidad local, y los renombra, copiándose luego a si mismo con el nombre original del archivo "infectado", como vimos.

La limpieza manual de este virus es algo tediosa. Primero deben borrarse los archivos infectados (se recomienda pasar un antivirus al día como primer medida), y luego renombrar los .TMP con la extensión .EXE.

Por ejemplo:

explorer.exe
explorer.tmp

Si EXPLORER.EXE está infectado, deberá ser borrado, y luego habrá que renombrar el archivo EXPLORER.TMP con su nombre original: EXPLORER.EXE en el ejemplo.

Fuente: McAfee