Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Sulpex. Peligroso y destructivo virus de compañía
 
VSantivirus No. 694 - Año 6 - Sábado 1 de junio de 2002

W32/Sulpex. Peligroso y destructivo virus de compañía
http://www.vsantivirus.com/sulpex.htm

Nombre: W32/Sulpex (W32/Sulpex.B)
Tipo: Virus de compañía
Alias: Win32.Sulpex
Fecha: 31/may/02
Plataforma: Windows
Tamaño: 230 Kb (aprox.)
Fuente: Kaspersky

Se trata de un peligroso y destructivo virus de compañía (ver Glosario), en formato de archivo PE (Portable Executable) de Windows. Escrito en Delphi, su código está comprimido con la utilidad UPX.

Cuando se ejecuta, el virus realiza una búsqueda recursiva en todos los archivos de todas las unidades de discos (de la A a la Z), a excepción de los archivos dentro del directorio de Windows (C:\Windows por defecto).

Infecta todos los archivos .EXE fuera de ese directorio, y encripta a todos los demás archivos. Esto provoca que de no ejecutarse el virus antes, los archivos encriptados no puedan ser leídos.

La infección de los archivos .EXE se produce de la siguiente forma:

1. Renombra el archivo .EXE original con el sufijo 'prm'. Por ejemplo, un ejecutable llamado NOMBRE.EXE quedaría renombrado como: prmNOMBRE.EXE

2. Se copia a si mismo en el lugar del .EXE original. En el ejemplo, el virus se copiaría como NOMBRE.EXE, ejecutándose en lugar del archivo original cada vez que este fuera llamado. El virus, luego de su acción, le pasará el control al verdadero archivo, que ahora se llama prmNOMBRE.EXE.

El virus encripta los primeros 4000 bytes de todos los demás archivos (o sea todos aquellos que NO tienen extensión .EXE y que están fuera de C:\Windows)

Cuando llega a los 1000 archivos encriptados, escribe un archivo de texto cuyo nombre comienza con "Warning" (Cuidado), en el escritorio de Windows. El contenido de este archivo contiene texto escrito en ruso.

Existe una versión de este virus (reconocido como W32/Sulpex.B), que modifica la página de inicio del Internet Explorer para que apunte al sitio wmrb2000.pisem.net.


Reparación manual

La reparación manual de este virus, debido a la encriptación que realiza en la mayoría de los archivos, y a la sustitución de los ejecutables por copias del propio virus, puede requerir la reinstalación de Windows y todas sus aplicaciones.


Glosario:

Virus de compañía (companion) - Se les llama virus de compañía, a los virus que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo).

ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS