Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32.HLLP/Gosusub. Borra archivos ejecutables y TXT
 
VSantivirus No. 572 - Año 6 - Miércoles 30 de enero de 2002

 W32.HLLP/Gosusub. Borra archivos ejecutables y TXT
http://www.vsantivirus.com/gosusub.htm

Nombre: W32.HLLP/Gosusub
Tipo: Virus
Alias: W32.HLLP.Gosusub
Fecha: 29/ene/02
Tamaño: 49,103 bytes
Payload: Borra archivos
Plataforma: Windows
Fuente: Symantec

W32/HLLP.Gosusub es un virus que infecta a la mayoría de los archivos ejecutables, tanto en las unidades de disco locales, como en las compartidas en una red.

También borra todos los archivos .TXT que encuentre en dichos discos.

Su código posee un error que hace que el ejecutable infectado por el virus quede corrupto, con los consiguientes mensajes de error en el momento de su ejecución. Esto no sucede con todos los ejecutables.

Se trata de un infector del tipo "prepending", o sea se agrega por delante de los archivos ejecutables infectados. Ha sido escrito en un lenguaje de alto nivel, C++.

Aunque el virus no puede transmitirse por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.

También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc.

Para ejecutarse, se requiere la acción de un usuario que haga doble clic sobre cualquier archivo infectado.

Cuando ello ocurre, el virus realiza las siguientes acciones:

1. Crea el archivo C:\Windows\Win386.exe

2. Modifica el registro de Windows para autoejecutarse en cada reinicio.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
win386 = C:\WINDOWS\win386.exe

3. Modifica el archivo SYSTEM.INI agregando en la sección [boot] la siguiente línea:

shell=explorer.exe win386.exe

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y desinfecte todos los archivos detectados como W32.HLLP/Gosusub o similar por su antivirus. Si los borra, deberá reinstalar Windows y la mayor parte de los programas y utilidades.

Para modificar los cambios en el registro:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run".

4. Si en la ventana de la derecha aparece el nombre "win386" con los datos "C:\WINDOWS\win386.exe", pinche sobre "win386" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

7. Bajo la sección [boot] busque lo siguiente:

shell=explorer.exe win386.exe

y déjelo así:

shell=explorer.exe

8. Grabe los cambios y salga del bloc de notas

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS