________________________________________________________________________________________________________
____________________________________________________________________________________________
En
esta pagina se hablara sobre un virus llamodo "Bacros A." se analizaran
las caracteristicas de el y se dara a conocer como eliminarlo
manualmente y con un antivirus....... Pero antes de todo esto
nesesitares saber primero que es un virus informatico para poder
enterder mejor a "Bacros A.".
¿Que
es un virus Informatico?:
Un
virus informático es un malware que tiene por objeto alterar
el normal
funcionamiento de la computadora, sin el permiso o el conocimiento del
usuario.
|
Aqui se les mostrara una
tabla simple en donde saldran todos los datos de "Bacros A.":
Alias |
W32/Bacros.A,
Bacros.A, W32/Bacros.A, Win32/Bacros.A, Win32.Bacros.a, W97M/Bacros.A |
Tipo: |
Infector
de
Archivos |
Fecha
de
deescubrimiento |
15-10-08 |
Origen: |
Desconocido. |
Tamaño: |
356
KB |
Nombre
asignado por: |
ESET |
Descripción:
Virus
escrito en Borland Deplhi, infecta archivos locales del sistema,
renombrando todos los archivos ".TXT" como ".EXE".
¿Como
se Puede Transmitir?
Puede copiarse en disquetes ,
CD-Roms y pendriver,
también libera y ejecuta un virus de macros de Word. Sin
embargo, esto no funciona correctamente. A pesar de ello, ambos
podrían replicarse en forma independiente.
Aunque no tiene capacidad de propagarse por si mismo a
través de
Internet, cualquier archivo previamente infectado, podría
ser
enviado por accidente, en un correo electrónico, o
descargado desde un sitio web, etc.
¿Que Hace?
El
virus sobrescribe los archivos de imágenes *.GIF por otra
que
solo muestra un texto ofensivo: "KUOLE JEHOVA" ("Muere
Jehová"
en finlandés).
Si se ejecuta con un doble clic un archivo infectado, el virus se
instala a si mismo en el sistema, creando las siguientes copias de si
mismo:
c:\windows\system\msdosdrv.exe
c:\windows\system\mssys.exe
c:\windows\system\sys.exe
Muestra un archivo de texto con el nombre del binario infectado. Por
ejemplo, si el archivo se llama README.EXE, intenta mostrar un archivo
de texto llamado README.TXT. Si el archivo de texto no existe, entonces
el virus visualiza un texto que solo contiene el nombre del archivo
repetido muchas veces.
Para ejecutarse en cada inicio del sistema crea las siguientes entradas
en el registro de Windows:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
MSDosdrv = c:\windows\system\msdosdrv.exe -t
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
MSSys = c:\windows\system\mssys.exe -d
El virus se comporta diferente si se ejecuta desde una línea
de
comandos, dependiendo del argumento que se utilice (como vemos en la
modificación que hace en el registro, utiliza -d o -t).
¿Que
pasa si se ejecuta en como el argumento -t?:
Cuando se ejecuta con el argumento -t, el programa libera un documento
de Word infectado con su componente de virus de macros, en la carpeta
de documentos del usuario infectado, y en la carpeta del sistema de
Windows:
\Mis Documentos\WordInfo.doc
\Windows\System\WordInfo.doc
Intenta desactivar la protección contra virus de macros de
Office.
Cuando se ejecuta con el argumento -d, el programa examina la fecha del
sistema. si el día del mes es 10, 20 o 30, el virus intenta
abrir el documento infectado en la carpeta del sistema:
\Windows\System\WordInfo.doc
¿Que pasa si
se ejecuta en como el argumento -d?:
Este
virus de macro, se replica durante la apertura y el cierre del
documento. Reside en el macro del documento infectado, llamado
"NewBacros", e infecta la plantilla NORMAL.DOT. También crea
una
copia de si mismo en la carpeta de plantillas de Word, con el nombre de
NORMAL.DOC.
Si el día del mes es 6, muestra el siguiente texto:
I, Madman
Luego cambia el nombre del usuario de la aplicación por el
siguiente
ANCIENT
El virus de macros intenta copiar el componente original del virus (el
binario), desde C:\WINDOWS\SYSTEM\SYS.EXE, al raíz de
cualquier
disquete insertado en la unidad A: con el siguiente nombre:
ReadMy.exe
Esta acción no funciona correctamente.
Si el día del mes es cualquier otro, intenta copiarse a la
unidad de CD con el mismo nombre.
También crea un archivo AUTORUN.INF en el CD-ROM, de manera
de
autoejecutarse en cualquier equipo que lea el CD con
autoejecución. Solo se copia en el CD si detecta una unidad
grabable y si el sistema está capacitado para grabar CDs y
tiene
alguna utilidad instalada para hacerlo.
Si el día del mes es 2, el virus examina todas las unidades
de
discos locales, y crea una copia de si mismo con el nombre de cada
archivo con extensión .TXT encontrado, y oculta el archivo
.TXT
original. El icono con el cuál se muestra el virus en estas
copias, es el mismo de los archivos .TXT.
Si es el primer día del mes, el virus examina todas las
unidades
de discos locales y reemplaza todos los archivos con
extensión
.GIF con una pequeña imagen que muestra el texto "Kuole
Jehova".
Si la fecha es 6 de diciembre el virus coloca como fondo del escritorio
una pequeña bandera finlandesa.
Si la fecha es 25 de diciembre, el virus borra todos los archivos de
todas las unidades de disco duro locales.
¿Como
se elimina Manualmente?
1.
Desactive la restauración
automática en Windows XP/ME. (Si no sabe haga clic AQUI!)
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y
repare o elimine los archivos infectados.
4. Busque y elimine los siguientes
archivos:
c:\windows\system\msdosdrv.exe
c:\windows\system\mssys.exe
c:\windows\system\sys.exe
5. Desde Inicio, Ejecutar, escriba
REGEDIT y pulse Enter para acceder al Registro del sistema.
6. Elimine bajo la columna "Nombre", la
entrada "MSDosdrv", en la siguiente clave del registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
7. Elimine bajo la columna "Nombre", la
entrada "MSSys", en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
8. Cierre el editor del Registro del
sistema.
9 En Word 97, seleccione Herramientas,
Opciones, haga clic en la lengüeta General, y marque la
última casilla: "Protección antivirus en macros"
y "Confirmar
conversiones al abrir". En Word 2000 y XP, vaya a
Herramientas, Macro, Seguridad, y cambie el nivel a Alto.
10. Reinicie el equipo.