Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Bi.A. Infecta archivos EXE (Windows) y ELF (Linux)
 
VSantivirus No. 2101 Año 10, lunes 10 de abril de 2006

Bi.A. Infecta archivos EXE (Windows) y ELF (Linux)
http://www.vsantivirus.com/bi-a.htm

Nombre: Bi.A
Nombres NOD32: Linux/Bi.A, Win32/Bi.A
Tipo: Virus infector de ejecutables (EXE y ELF)
Alias: Bi.A, Biwili.A, Capzloq, ELF/BiWiLi.A, ELF_BI.A, Linux/Bi.A, Linux/BiWiLi, Linux/BiWiLi.A, PE_BI.B, Virus.Linux.Bi.a, Virus.LinuxBi.a, Virus.Win32.Bi.a, W32/Biwili.A, W32/Linux.Bi, Win32/Bi.A, Win32/BiWiLi.A
Fecha: 9/abr/06
Plataformas: Windows 32-bit, Unix/Linux
Tamaño: 1,287 bytes

Virus que busca e infecta archivos ejecutables de Windows (PE) y Linux (ELF), en la carpeta en que se ejecute (solo archivos con tamaños entre 4 KB y 4 MB).

Cada vez que un archivo infectado es ejecutado, procede a buscar e infectar otros archivos. Para no volver a infectar los mismos archivos, el virus utiliza como marca los caracteres 0x7D (0, 125) y 0xFB (0, 251).

En Windows (archivos EXE), el virus se agrega al final de los archivos infectados. En Unix y Linux, el virus inserta su código después del encabezado del archivo ELF a infectar.

Básicamente, el código identifica el tipo de archivo ejecutable antes de infectarlo, y de acuerdo a ello aplica una rutina de infección diferente en cada caso.

Los archivos que infecta son los EXE en formato PE (Portable Executable) de Windows, y ELF (Executable and Linking Format) de Unix y Linux.

El formato de archivos ejecutables PE de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos Windows de 32-bit. Los archivos ejecutables ELF (Formato Ejecutable y Vinculado), son propios del sistema operativo Unix/Linux. Es el formato binario estándar de Unix.

Los archivos infectados, contienen el siguiente texto en su código:

[CAPZLOQ TEKNIQ 1.0] (c) 2006 JPanic:
This is Sepultura signing off...
This is The Sooul Manager saying goodbye...
Greetz to: Immortal Riot, #RuxCon!

El archivo infector original, posee además, las siguientes cadenas:

[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER (c) 2006 JPanic
[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!

No se trata del primer caso de virus multiplataforma Windows/Linux. Existen al menos otros dos ejemplos, documentados por VSAntivirus en 2001 y 2002, que ya lo hacían. También utilizaban dos tipos de códigos diferentes, de acuerdo al entorno en que se ejecutaban.


Más información:

Winux. Un nuevo concepto. ¿Cuál es su verdadero peligro?.
http://www.vsantivirus.com/29-03-01.htm

Winux (Lindose). El primer virus para Windows y Linux
http://www.vsantivirus.com/winux.htm

W32/Simile.D, Linux/Simile.D. Infecta Linux y Windows
http://www.vsantivirus.com/simile-d.htm


Reparación manual

Antivirus

Actualice su antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros (en NOD32 Scanner seleccione "Analizar y desinfectar").

3. Desinfecte los archivos detectados como infectados.


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS