| |
VSantivirus No. 621 - Año 6 - Miércoles 20 de marzo de 2002
W32/Gemi (W32/Chiton.B). Infector directo de archivos
http://www.vsantivirus.com/gemi.htm
Nombre: W32/Gemi (W32/Chiton.B)
Tipo: Infector de archivos
Alias: W32/Gemi, Gemini
Fecha: 18/mar/02
W32/Gemi (también conocido como W32/Chiton.B), es un infector directo de archivos. Cuando un archivo infectado con el virus es ejecutado, el virus realiza una búsqueda de otros archivos a los que pueda llegar a infectar, dentro de la misma computadora.
El virus busca e infecta todos los archivos ejecutables en formato PE (Portable Executable), tales como
*.DLL, *.EXE, *.OCX, *.SCR, *.SYS
El virus se agrega al final del archivo huésped, siendo visible el texto
"gemini" si lo examinamos con un editor hexadecimal por ejemplo.
El virus libera el archivo llamado "GEMINI.EXE" en la carpeta de Windows:
En Windows 9x, Me:
C:\Windows\gemini.exe
En Windows NT/2000, XP:
C:\WinNT\gemini.exe
El tamaño de este archivo es de unos 2788
bytes, pero puede variar de acuerdo a otras condiciones.
Mientras el virus está activo en memoria, es posible visualizarlo como un proceso si pulsamos CTRL+ALT+SUPR, donde aparece como una tarea de nombre
"gemini".
El virus se activa siempre por la ejecución directa del usuario, y no tiene ninguna capacidad de propagación a través de la red (no es un gusano). Sin embargo, tenga en cuenta que cualquier archivo previamente infectado, podría ser enviado en forma premeditada o por accidente, en un correo electrónico, o descargado desde un sitio en Internet. Por supuesto, usted jamás debería ejecutar nada por primera vez, sin revisarlo antes con sus antivirus al día.
Variante W32/Chiton.A
Sólo varía el nombre del archivo liberado por el virus. En lugar de
GEMINI.EXE, el archivo copiado en la carpeta de Windows se llama
CHTHOM.EXE.
Reparación manual
Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare los archivos detectados como infectados por W32/Gemi (W32/Chiton.B, etc.) (el archivo
GEMINI.EXE o CHTHOM.EXE debe ser borrado, y no reparado, ya que son el virus en si mismos).
4. Reinicie su PC en modo normal y vuelva a realizar un escaneo con sus antivirus.
Notas
a. Cuando decimos usar más de un antivirus debemos tener en cuenta dos cosas. Una, que JAMAS debemos tener más de uno monitoreando en segundo plano. Solo usamos más de uno para una revisación (escaneo) normal por demanda (uno a la vez). Y segundo, que debemos desactivar momentáneamente todo proceso de monitoreo en segundo plano cada vez que procedemos a escanear un equipo. En todos los casos, si su PC está conectado a una red, desconéctelo físicamente de la misma hasta haber realizado el proceso de escaneo en todas las máquinas.
b. Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
