Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W16/Klon. Virus parásito que infecta EXEs de 16 y 32 bits
 
VSantivirus No. 484 - Año 6 - Domingo 4 de noviembre de 2001

Nombre: W16/Klon
Tipo: Virus parásito infector de EXEs
Alias: Win16.Klon
Tamaño: 11 a 13 Kb 

Es un virus del tipo parásito (parasitic virus). Se les llama parásitos a los virus que requieren de un portador (o host) para propagarse. Se adjunta a otro programa y se activa cuando ese programa es ejecutado.

El virus es un ejecutable de Win16 (NE EXE), de unos 11 o 13 Kb, dependiendo de la versión del mismo, escrito en Turbo Pascal para Windows.

Cuando el virus se ejecuta, busca archivos EXE tanto Win16 como Win32 (NE y PE), en las unidades de disco presentes, y procede a infectarlos, agregando el código del archivo infectado después del código del propio virus. Cuando el usuario abre un archivo infectado, el que se ejecuta es el virus, el cuál hace su acción (busca otros archivos para infectar, etc.), y luego crea una copia "desinfectada" del programa original que le sirve de host, en un .DLL temporal, al cuál le pasa el control.

El virus puede crear sus "droppers" (ver Glosario), o sea archivos ejecutables con el código del virus, en el directorio System de Windows. El nombre dependerá de la versión del virus, y estos son unos ejemplos:

C:\Windows\System\SYSTEM0.EXE
C:\Windows\System\SYSTEM1.EXE
C:\Windows\System\SYSTEM9.EXE
C:\Windows\System\ANTIA.EXE
C:\Windows\System\ANTIB.EXE

Alguna de las versiones del virus, agrega estos archivos al archivo WIN.INI para que se ejecute en el inicio de Windows:

[windows]
run = C:\Windows\System\[nombre del archivo]

Dependiendo de ciertas condiciones, el virus puede mostrar esta ventana de mensajes:

klon!
Najemnik Virus Version 3.0

AntiAnti

Una de las versiones del virus examina la presencia de ciertos antivirus, buscando procesos con las siguientes cadenas:

viru
mks_
avp
antiviral

Si las encuentra, intenta terminar esa aplicación.

El virus contiene el siguiente texto:

"Klon.11776":
Idea:SaddamHusseinDiskValidator Amiga!
"Klon.12800,13056": AntiAntiVirus AAV AntiAntiVirus AAV

Para limpiar un sistema infectado, siga estos pasos:

1. Ejecute un antivirus al día

2. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

3. Si existe alguna referencia a los archivos del troyano en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
run=C:\Windows\System\ANTIA.EXE

Debe quedar como:

[Windows]
run=

4. Grabe los cambios y salga del bloc de notas.

Glosario:

VIRUS PARÁSITO (PARASITIC VIRUS) - Se les llama parásitos a los virus que requieren de un portador (o host) para propagarse. Se adjunta a otro programa y se activa cuando ese programa es ejecutado.

DROPPER (cuentagotas) - Es un archivo ejecutable que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".


Fuente: Kaspersky Labs

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS