Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Primer virus en modo "Kernel" en WinNT: WNT.Infis.4608
 
Lunes 1 de noviembre de 1999.

Nombre: WNT/Infis.4608

Salvo el Remote Explorer (WNT.RemEx virus), parecen no existir virus específicos para Windows NT. Remote Explorer está desarrollado como un servicio corriendo en modo usuario. Tal vez el WNT.Infis sea el primero que se ejecuta en modo Kernel, en Windows NT, de este modo es capaz de infectar todo archivo que se abra o se ejecute. Sin embargo, el virus debe ser lanzado primero por un usuario con privilegios de Administrador, ya que sin ese derecho el virus es incapaz de copiarse.

Según los expertos, durante la reciente conferencia VB 99 se realizaron muchas charlas sobre la posibilidad de un virus driver para NT. Infis hizo realidad esta pesadilla. Pero este virus en especial, tiene muchos errores en su estado actual, por lo que es muy poco probable que pueda pasar inadvertido en una máquina infectada.

El virus WNT.Infis.4608 (WinNT.Infis.4608, WNT/Infis.4608), infecta los archivos PE con extensión .EXE de Windows NT. Cuando un archivo infectado es ejecutado, el virus crea el archivo INF.SYS en el subdirectorio \WINNT\SYSTEM32\DRIVERS.

También modifica la siguiente clave del registro:

HKLM\SYSTEM\CurrentControlSet\Services\inf

El archivo INF.SYS es un driver de Windows NT nativo, y su tamaño es de 4608 bytes.

Cuando el sistema se reinicia, el driver del virus (INF.SYS) se carga automáticamente en memoria. El virus intercepta los archivos que son abiertos usando un algoritmo nada normal, que no funciona correctamente todas las veces. No infecta al archivo CMD.EXE y es incapaz de hacerlo con archivos que tengan los atributos de sólo lectura activados.

Su código está muy optimizado, lo que lo hace muy pequeño. Solo funciona bajo Windows NT 4.0 con los Service Packs 2, 3, 4, 5 y 6 instalados, y no afecta a Windows 95, 98 ni al 2000, como tampoco a versiones anteriores de Windows NT. El virus puede ser deshabilitado usando el Device Manager. De esta manera los archivos infectados o corruptos, pueden ser borrados y reemplazados por archivos limpios desde una copia de respaldo.

Copyright 1996-2000 Video Soft BBS