c:\windows\system\ntloader.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

También modifica el registro, para autoejecutarse cada vez que se llama a un archivo .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = c:\windows\system\ntloader.exe "%1" %*"

Luego libera otro virus en la carpeta de inicio de Windows:

C:\Windows\Menú Inicio\Programas\Inicio\Win32s.exe

"C:\Windows\Menú Inicio\Programas\Inicio" en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents and Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows NT "C:\WinNT\Profiles\[usuario]\Menú Inicio\Programas\Inicio"

La rutina de encriptación es muy elaborada. Por ejemplo, utiliza instrucciones de punto flotante del procesador 386 (FPU por sus siglas en inglés, Floating Point Unit). FPU es un chip especialmente diseñado para acelerar todo proceso que requiera una gran cantidad de cálculos.

La desencriptación ocurre por partes. La primera busca la librería de Windows KERNEL32.DLL (el Componente del núcleo del kernel Win32), obteniendo las direcciones de dos funciones API que necesita para su funcionamiento posterior. API (Application Program Interface), es un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo.

Luego de asignarse un área en la memoria, Bagif desencripta allí su cuerpo principal y toma el control.

El virus busca entonces en todas las unidades de disco locales y de red, todos los archivos con extensiones .EXE y .SCR e intenta infectar a los que reúnen ciertas características. Debido a sus técnicas de infección, no todos los ejecutables pueden ser infectados satisfactoriamente, sino solo aquellos que usan la función ExitProcess(), aportada por Kernel32.dll.

El código del virus se agrega a la primera sección del archivo infectado, reemplazando la función anteriormente mencionada, por un salto a su propia rutina desencriptadora.

Los archivos que usan la función ExitProcess(), son aquellos que finalizan cuando son detenidos desde el menú u opción correspondiente.

Cómo vimos, al usar la técnica EPO, el virus no modifica las direcciones de comienzo de los archivos infectados. Todo ello, hace más difícil su correcta identificación por parte de los productos antivirus.

Bagif evita infectar archivos cuyos nombres comiencen con las siguientes cadenas:

EXPL
UNRE
HL

Solo puede infectar archivos mayores de 4 Kb, pero que no sean más grandes de 2 MB.

También intenta propagarse a otras computadoras conectadas a una red, buscando directorios con los siguientes nombres en cada unidad de disco o carpeta compartida:

WINDOWS
WINNT
WIN95
WIN98
WINME
WIN2000
WIN2K
WINXP

En cada directorio encontrado, el virus se copia a si mismo con el nombre de TSOC32.EXE. También modifica el archivo WIN.INI de cada unidad remota para que se autoejecute el virus cada vez que Windows se reinicie en esas computadoras:

[windows]
run=c:windows\tsoc32.exe

WIN.INI solo afecta a los sistemas Windows 95, 98 y Me.

Oculto en su código, el virus contiene el siguiente texto:

HI CHUNK OF SH*T !
IT'S ME
SUPRA VIRUS
BY GRIFIN
I HATE SCHOOL & USA
KILL 'EM ALL

Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza, y luego reiterar los siguientes pasos en cada computadora en forma individual, antes de reconectar la red.


Para eliminar el virus de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = c:\windows\system\ntloader.exe "%1" %*"

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (c:\windows\system\ntloader.exe) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\ntloader.exe
c:windows\tsoc32.exe
c:\windows\menú inicio\programas\inicio\win32s.exe

(o alguna de las carpetas siguientes, según el sistema operativo:

c:\documents and settings\[usuario]\menú inicio\programas\inicio\win32s.exe

c:\winnt\profiles\[usuario]\menú inicio\programas\inicio\win32s.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[Windows]
run=c:windows\tsoc32.exe

Debe quedar como:

[Windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza adicional con F-Prot

Se sugiere cómo último paso iniciar su PC desde un disquete, y proceder a la limpieza del mismo con un antivirus como el F-Prot, tal como se indica en nuestro sitio:

Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com