CLASIFICACION DE VIRUS

 

VIRUS DE SECTOR DE ARRANQUE  (BOOT).

 

 

     Utilizan el sector de arranque, el cual contiene la informacion sobre el tipo de disco, es decir, numero de pistas,

sectores, caras, tamaño de la FAT, sector de comienzo, etc. Atodo esto hay que sumarle un pequeño programa de

arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de

arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los

sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de

discos duros pueden utilizar tambien la tabla de particiones como ubicacion. Suelen quedar residentes en memoria al

hacer cualquier operacion en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el

Brain.

 

 

 

VIRUS DE ARCHIVOS.

     Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es

estos momentos son los archivos (DOC, XLS, SAM...) los que estan en boga gracias a los virus de macro (descritos

mas adelante). Normalmente insertan el codigo del virus al principio o al final del archivo, manteniendo intacto el

programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al

programa original para que se continue de modo normal. El Viernes 13 es un ejemplar representativo de este grupo.

     Dentro de la categoria de virus de archivos podemos encontrar mas subdivisiones, como los siguientes:

 

  Virus de accion directa. Son auellos que no quedan residentes en memoria y que se replican en el momento de

ejecutarse un archivo infectado.

  Virus de sobreescritura. Corrompen el achivo donde se ubican al sobreescribirlo.

  Virus de compañia. Aprovechan una caracteristica del DOS, gracias a la cual si llamamos un archivo para

ejecutarlo sin indicar la extension el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no

modifica el programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo

el virus con extension COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y

posteriormente este pasara el control a la aplicacion original.

 

 

 

 

VIRUS DE MACRO.

     Es una familia de virus de reciente aparicion y gran expansion. Estos estan programas usando el lenguaje de

macros WordBasic, gracias al cual pueden infectar y replicarse a traves de archivos MS-Word (DOC). En la

actualidad esta tecnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el

caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son

multiplataformas en cuanto a sistemas operativos, ya que dependen unicamente de la aplicacion. Hoy en dia son el

tipo de virus que estan teniendo un mayor auge debido a que son facilies de programar y de distibuir a traves de

Internet. Aun no existe una concienciacion del peligro que puede representar un simple documento de texto.

 

Porcion de codigo de un tipico virus Macro:

  Sub MAIN

     DIM dlg As FileSaveAs

     GetCurValues dlg

     ToolsOptionsSave.GlobalDotPrompt=0

     Ifcheckit(0)=0 Then

       MacroCopy FileName$() + ":autoopen",

       "global;autoopen"

     End If

 

 

VIRUS BAT.

     Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar

efectos dañinos como cualquier otro tipo virus.

     En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus

comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO

OFF y REM traducidas a codigo maquina son <<comodines>> y no producen ningun efecto que altere el

funcionamiento del virus.

 

 

 

VIRUS DEL MIRC.

      Vienen a formar parte de la nueva generacion Internet y demuestra que la Red abre nuevas forma de infeccion.

Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre

alguna persona infectada, recibe por DCC un archivo llamado "script.ini".

 

 

 

 

 

 

 

FUNCIONAMIENTO

     Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las

histerias y los miedos infundados y al mismos timepo ser consientes del daño real que puede causarnos. Para ello, lo

mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles

frente.

 

 

 

PROCESO DE INFECCION.

       El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado

de Internet.

 

     Dependiendo del tipo de virus el proceso de infección varia sensiblemente.

     Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario

introduce el disco en la computadora ( por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus

desfasado ) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable.

Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son

leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus

comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se

quede residente en ella. A partir de ese momento todo programa que se ejecute será contaminado. El virus ejecutará

todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos

cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para

que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema,

aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así,

cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten

los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los

archivos que se encuentre a su paso.

 

       Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus se copiará en el primer

sector del disco duro que la computadora lee al arrancar. Puede que sobreescriba el sector original o que se quede

una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en

entrar en el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora con un disquete "limpio" el

virus no podrá cargarse en memoria y no tendrá el control.

      Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de

sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los

casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de

arranque...

 

 

 

 TECNICAS DE PROGRAMACION

 

Técnicas Stealth

     Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus

ocultan el tamaño real de los archivos que han contaminado, de forma que si hacemos un DIR la información del

tamaño de los archivos puede ser falsa. Los virus de tabla de partición guardan una copia de la FAT original en otro

lugar del disco que marcan como sectores defectuosos para mostrarsela al usuario cuando haga por ejemplo un

FDISK. Incluso hay virus que detectan la ejecución de determinados antivirus y  descargan de la memoria partes de

su propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda.

 

Tunneling

     Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una

interrupción y tener así un control directo sobre esta.

Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de

funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Se coloca una ISR (Interrupt Service

Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se

quería hasta

recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.

 

Antidebuggers

     Un debugger es un programa que permite decompilar programas ejecutables y mostrar parte de su código en

lenguaje original. Los virus usan técnicas para evitar ser desemsamblados y así impedir su análisis para la

fabricación del antivirus correspondiente.

 

Polimorfismo o automutación

     Es una técnica que consiste en variar el código virico en cada infección ( más o menos lo que hace el virus del

SIDA en los humanos con su capa protéica ). Esto obliga a los antivirus a usar técnicas heurísticas ya que como el

virus cambia en cada infección es imposible localizarlo buscandolo por cadenas de código. Esto se consigue

utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede

codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más

vulnerable al antivirus.

 

 La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es

reversible:

 

        7 XOR 9 = 2

        2 XOR 9 = 7

 

En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obiene una codificación

también distinta.

 

Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico.

 

TSR

     Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución.

     Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo

lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido. Por

eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema

para asegurarse de que cuando se vuelva a arrancar la computadora volverá a ser cargado en memoria.

 

 

Software Antivirus

 

     Para combatir la avalancha de virus informáticos se creó el software antivirus. Estos programas suelen incorporar

     mecanismos para prevenir, detectar y eliminar virus. Para la prevención se suelen usar programas residentes que

     alertan al usuario en todo momento de cualquier acceso no autorizado o sospechoso a memoria o a disco, por lo que

     resultan sumamente útiles al impedir la entrada del virus y hacerlo en el momento en que este intenta la infección,

     facilitándonos enormemente la localización del programa maligno. Sin embargo presentan ciertas desventajas, ya que

     al ser residentes consumen memoria RAM, y pueden también resultar incompatibles con algunas aplicaciones. Por

     otro lado, pueden llegar a resultar bastante molestos, puesto que por lo general suelen interrumpir nuestro trabajo

     habitual con el ordenador avisándonos de intentos de acceso a memoria o a disco que en muchos casos provienen de

     programas legítimos. A pesar de todo, son una medida de protección excelente y a ningún usuario debería faltarle un

     programa de este tipo.

 

     A la hora de localizar virus, los programas usados sin los detectores o scanners. Normalmente estos programas

     chequean primero la memoria RAM, después las zonas criticas del disco como el boot o partición, y por ultimo los

     ficheros almacenados en él.

 

     Los productos antivirus han mejorado considerablemente sus algoritmos de búsqueda, aunque en la actualidad la

     exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento imparable del número de virus y las

     técnicas de camuflaje y automodificación que suelen emplear hacen que la búsqueda a través de una cadena genérica

     sea una tarea cada vez más difícil. Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas

     heurísticas.

 

     La detección heurística es una de las fórmulas más avanzadas de remotoización de virus. La búsqueda de virus

     mediante esta técnica se basa en el desensamblado del código del programa que se intenta analizar con el objetivo

     de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin duda, lo mejor es disponer de un antivirus que

     combine la búsqueda de cadenas características y además cuente con técnicas heurísticas.

 

     Gracias a la heurística se buscan programas que puedan quedarse residentes o que sean capaces de capturar

     aplicaciones que se estén ejecutando, código preparado para mover o sobreescribir un programa en memoria, código

     capaz de automodificar ejecutables, rutinas de encriptación y desencriptación, y otras actividades propias de los virus.

 

     Aunque las técnicas heurísticas han representado un gran avance en la detección de virus desconocidos, presentan

     un gran inconveniente: es muy alta la posibilidad de obtener «falsos positivos y negativos». Se produce un «falso

     positivo» cuando el antivirus anuncia la presencia de un virus que no es tal, mientras que se llama «falso negativo»

     cuando piensa que el PC esta limpio y en realidad se encuentra infectado.

 

     ¿Que Debemos Buscar En Un Antivirus?

 

     A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la propaganda con mensajes como "detecta

     y elimina 56.432 virus". Realmente existen miles de virus, pero en muchísmos casos son mutaciones y familias de

    otros virus; esto está bien, pero hay que tener en cuenta que una inmensa mayoría de virus no han llegado ni llegaran

     a nuestro país.

 

     Por lo que de poco nos sirve un antivirus que detecte y elimine virus muy extendidos en América y que desconozca

     los más difundidos en España. Por tanto, estaremos mejor protegidos por un software que, de alguna forma, esté más

     "especializado" en virus que puedan detectarse en nuestro país. Por ejemplo "Flip", "Anti Tel", "Barrotes", "Coruña",

     etc. Por otro lado, hemos de buscar un software que se actualice el mayor numero posible de veces al año; puesto

     que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha frecuencia, el estar al día es

     absolutamente vital.

 

     Cómo Reaccionar Ante Una Infección

 

     La prevención y la compra de un buen antivirus son las mejores armas con las que cuenta el usuario ante el ataque de

     los virus. Sin embargo, siempre cabe la posibilidad de que en un descuido se introduzca un inquilino no deseado en el

     PC. Ante esta situación lo primero que debemos hacer es arrancar el ordenador con un disco de sistema totalmente

     libre de virus. Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo corremos

     el riesgo de que no remotoice mutaciones recientes o nuevos virus.

 

     En el disco de sistema limpio (que crearemos con la orden «format a: /s») incluiremos utilidades como «mem.exe»,

     «chkdsk.exe», «sys.com», «fdisk.exe» y todos los controladores para que el teclado funcione correctamente. Si

     disponemos de dos o más antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora de

     inmunizar el PC.

 

     Si la infección se ha producido en el sector de arranque podemos limpiar el virus con la orden «sys c:», siempre y

     cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la tabla de particiones podemos

     ejecutar «fdisk /mbr».

 

     Software AntiVirus Comercial

 

     Análisis heurístico

 

     Hay que señalar una marcada mejoría en las técnicas de detección heurísticas, que aunque en determinadas

     condiciones siguen provocando «falsos positivos», muestran una gran efectividad a la hora de remotoizar virus

     desconocidos. En este apartado debemos destacar al ThunderByte, ya que la técnica heurística de este antivirus le

     ha permitido detectar 42 de los virus no remotoizados mediante el método adicional. De hecho, la mayoría de estos

     virus son desarrollos nacionales de reciente aparición, por lo que o ha habido tiempo de incluirlos en la última versión.

     Además, este producto destaca por una relación de «falsos positivos» realmente baja.

 

     Otros productos que permiten la detección heurística son Artemis Profesional, Dr. Solomon´s y F-Prot 2.20. En todos

     los casos esta técnica ha servido para aumentar el porcentaje de virus detectados, aunque de esta forma no se

     identifica el virus, sino que sólo se sospecha de su presencia. Por otra parte, el Dr. Solomon´s combina

     perfectamente una gran base de datos de virus conocidos con su análisis heurístico.

 

     Búsqueda específica

 

     Aunque algunos antivirus engordan su porcentaje de efectividad gracias a técnicas de remotoización genérica

     (heurísticamente), muchos usuarios pueden preferir la seguridad aportada por un sistema específico que identifique, e

     incluso elimine, sin problemas ni dudas el mayor número de virus posible.

 

     Los usuarios más inexpertos probablemente no sepan enfrentarse a las alarmas producidas por el análisis heurístico,

     por lo que en todos los antivirus es posible realizar la exploración de las unidades de disco sin dicha posibilidad. En

     tal caso será necesario conocer cuál es la efectividad del producto prescindiendo de tal análisis.

 

     Por este motivo, si nos basamos en técnicas tradicionales como la búsqueda de cadenas y dejamos a un lado

     métodos heurísticos tenemos que reconocer que el producto dominante es el antivirus Artemis Profesional 4.0,. tras

     él, el conocido Scan de McAfee demuestra el porqué de su prestigio, seguido muy de cerca por el F-Prot.

 

 

TRATAMIENTO Y DESINFECCIÓN

 

     Muchas personas se quedan realmente petrificadas cuando descubren la existencia de un virus

en su sistema. Conozco casos de personas que apagaron el ordenador y no lo volvieron a encender

durante meses por miedo a que se estropeara, esperando que el virus se "muriera". En torno a los

virus informáticos hay un halo de pánico a medio camino entre el "miedo tecnológico" y el mito. 

 En un principio los medios de comunicación hablaban de los virus informáticos como si estos

pudieran contagiar a las personas. Había gente que desenchufaba los ordenadores de la red eléctrica

para evitar que los virus entraran en su ordenador.

 

 

     Una de las cosas más importantes cuando se encuentra un virus es conservar la calma. Lo

verdaderamente peligroso no es el virus... sino la reacción del que se lo encuentra frente a sí. Un virus

es fácilmente desinfectable si contamos con la calma y las herramientas adecuadas. Estas

herramientas son:

 

 

                            * Copias de seguridad de los datos importantes. 

                            * Disquete de arranque del sistema. 

                            * Antivirus actualizado ( muy recomendable )

 

 

 

     Como eliminar virus: 

 

 

      Virus de fichero. 

 

                                                1º ) Arranque el ordenador con un "disquete de arranque

                                                100% libre de virus". El arranque del ordenador debe ser total,

                                                es decir, no es suficiente con rearrancar el ordenador con las

                                                teclas Ctrl + Alt + Sup. 

 

                                                2º) Utilizar un antivirus y testear el disco duro y todos los

                                                disquetes y unidades de soporte magnético utilizadas en ese

                                                sistema. El antivirus desinfectará todos los virus. Si no se

                                                contara con antivirus se podría proceder a eliminar los ficheros

                                                que tenemos la certeza de que están contaminados,

                                                sustituyéndolos por ficheros originales procedentes de las

                                                copias de seguridad. 

                                                

      Virus de sector de arranque.

                                                1º) Arranque el ordenador con un "disquete de arranque 100%

                                                libre de virus". El arranque del ordenador debe ser total, es

                                                decir, no es suficiente con rearrancar el ordenador con las

                                                teclas Ctrl + Alt + Sup. 

 

                                                2º)  Utilice un antivirus o en caso de no ser capaz este de

                                                desinfectar el virus reemplace los archivos de sistema por otros

                                                que sepa con certeza que están limpios. Puede hacer esto

                                                usando el comando Sys c: desde un disquete de arranque del

                                                sistema y con ese comando del sistema operativo. 

                                                

      Virus de tabla de partición.

                                                1º ) Arranque el ordenador con un "disquete de arranque

                                                100% libre de virus". El arranque del ordenador debe ser total,

                                                es decir, no es suficiente con rearrancar el ordenador con las

                                                teclas Ctrl + Alt + Sup. 

 

                                                 2º) Utilice un antivirus o en caso de no poder este desinfectar

                                                el sistema destruya la  tabla de partición y cree una nueva,

                                                teniendo luego que recuperar todos los datos desde los

                                                backups.

 

 

 

 

LISTA DE VIRUS INFORMATICOS

 

Nombre:

                                                      CMOS.Erase

                                                 Alias:

                                                      DelCMOS.B, Int7F-E9, Feint

                                                 Tipo:

                                                      Boot

                                              Infecta a:

                                                      Sector de arranque de disquetes y discos duros, así como la Tabla de Particiones

                                             Reparable:

                                                      Sí, con Panda Antivirus

                                                Origen:

                                                      España

                                               Tamaño:

                                                      512 KBytes

                                        Visto "In The Wild":

                                                      Sí

 

 

 

  Características

  CMOS.Erase (DelCMOS.B) es un virus de BOOT que infecta el sector de arranque de los discos duros (Master Boot Record - MBR) y el de los

  disquetes (Boot). También infectará la Tabla de particiones del disco infectado. La única para que se infecte un disco duro es que el ordenador se

  arranque desde un disquete que ya tiene infectado su Boot, no existe otra posibilidad. El virus se coloca en memoria (residente) y desde ella trata de

  infectar todos los disquetes con los que se trabaje (en caso de que éstos no estén protegidos contra escritura).

 

  Método de Propagación

  Cuando un ordenador se intenta arrancar desde un disquete ya infectado, el virus CMOS.Erase (DelCMOS.B) infecta el disco duro y se coloca

  automáticamente en la memoria (residente). Por tanto, los disquetes son el medio que el virus utiliza para propagarse.

 

  Síntomas de la infección

  Deja corruptos e inservibles todos los disquetes que infecta. Esto es debido a que considera que todos ellos serán de 1.44 Mb, sin tener en cuenta la

  posibilidad de trabajar con disquetes de 720 Kb.

 

  Método de infección

  CMOS.Erase (DelCMOS.B) se copia en el MBR del disco duro que infecta. A partir de este momento cada vez que arranquemos el equipo tendremos

  el virus en memoria, con lo que éste será capaz de infectar todos aquellos disquetes a los que accedamos.

 

  En cualquiera de los casos (infección de un disco duro o de un disquete) el Boot correspondiente a cada uno de ellos, se almacena en otra sección del

  disco, sustituyéndose éste por una copia del mismo, pero infectada.

 

 

 

 

Nombre:

                                                                    Lokky.336

                                                               Alias:

                                                                    Exeheader.336, LadyJ.Cav.336

                                                               Tipo:

                                                                    Virus de DOS, Residente en memoria

                                                            Infecta a:

                                                                    Ficheros con extensión EXE

                                                           Reparable:

                                                                    Sí, con Panda Antivirus

                                                      Visto "In The Wild":

                                                                    No

 

 

 

  Características

  Se trata de un virus de MS/DOS, residente que infecta ficheros ejecutables, con extensión EXE. El virus emplea dos técnicas especiales: Cavity y

  Full-Stealth (o Disinfection on the fly). No obstante, el virus no produce ningún tipo de efecto destructivo.

 

  Método de propagación

  Lokky.336 utiliza cualquiera de los medios habitualmente empleados por los virus para extenderse y producir sus infecciones en otros ordenadores:

  disquetes, CD-ROM, ordenadores conectados en red, Internet, recepción como un fichero (infectado) adjunto o incluido en un mensaje de correo

  electrónico,... etc.

 

  Síntomas de Infección

  Este virus no realiza ninguna acción, como consecuencia de su infección.

 

  Método de Infección

  Las técnicas que emplea el virus son:

 

       Cavity. Aprovechando su reducido tamaño se copia en el interior del fichero que infecta.

 

        Full-Stealth o "Disinfection on the fly". Mientras el virus se encuentra residente en memoria los programas antivirus son incapaces de

       detectarlo.

Nombre:

                     O97M/Jerk.B

                 Tipo:

                     Macro y Polimórfico

              Infecta a:

                     Documentos de Microsoft Word 97 y hojas de cálculo (libros) de Microsoft Excel 97

             Reparable:

                     Sí, con Panda Antivirus

       Fecha de Activación:

                     Día 14 de alguno de los siguientes meses: Junio, Julio, Agosto, Septiembre, Noviembre o Diciembre

    Condición de Activación:

                     Apertura del fichero infectado. Día de la fecha igual al número de minutos del reloj

 

 

 

  Características

  O97M/Jerk.B es un virus de macro y polimórfico que afecta documentos de Microsoft Word 97 (DOC) así como hojas de cálculo (libros XLS) de

  Microsoft Excel 97. Se activa, presentando un mensaje por pantalla y desactivando la protección antivirus en macros el día 14, en cualquiera de los

  siguientes meses: Junio, Julio, Agosto, Septiembre, Noviembre o Diciembre.

 

  Método de Propagación

  Se propaga mediante los ficheros que previamente ha infectado (documentos de Word o libros de Excel). Estos pueden llegar a otros ordenadores por

  alguno de los siguientes medios: disquetes, CD-ROM, redes, Internet, mensajes de correo electrónico en los que se incluye alguno de los ficheros

  infectados,... etc.

 

  Síntomas de la infección

  Al activarse, el día 14 de los meses comprendidos entre Junio y Diciembre (ambos inclusive), O97M/Jerk.B presenta un cuadro de diálogo en

  pantalla, dentro del cual se puede leer un mensaje de texto.

 

 

 

  Tras la presentación de este mensaje y la pulsación del botón Aceptar, impide al usuario determinar si desea activar o no las protecciones antivirus

  para macros, cuando se abre un fichero (que contenga macros).

 

  Método de infección

  Se le considera polimórfico, ya que no se comporta del mismo modo en cada una de las infecciones que realiza. Guarda un historial con cada una de

  sus infecciones.

 

Nombre:

                                                                Pieck.4444.A

                                                            Tipo:

                                                                Residente, Multipartite, Encriptado, y Stealth

                                                         Infecta a:

                                                                Ficheros con extensión EXE y MBR del disco duro

                                                        Reparable:

                                                                Sí, con Panda Antivirus

                                                 Fecha de Activación:

                                                                3 de Marzo

                                                          Origen:

                                                                Polonia

                                                   Visto "In The Wild":

                                                                Sí

 

 

 

  Características

  Pieck.4444.A es un virus de MS-DOS que infecta ficheros con extensiones EXE. Cuando esto ocurre y el fichero EXE que se encuentra infectado se

  ejecuta, el virus infecta el MBR (Master Boot Record - Sector de arranque) del disco duro. Se trata de un virus que en el siguiente arranque a una

  infección previa, se colocará como residente en memoria. Además tiene las características de ser multipartite, stealth y encriptado. Una vez que se

  encuentra en memoria, infecta sólo los ficheros EXE que se encuentren en disquetes y si un fichero infectado es ejecutado o accedido en el disco

  duro, éste se desinfecta. Pieck.4444.A se activa el 3 de Marzo de cualquier año, produciendo un efecto visual que consiste en unas sacudidas de la

  pantalla de forma continua.

 

  Método de propagación

  Pieck.4444.A emplea cualquiera de los medios utilizados habitualmente por los virus para extenderse dentro de un sistema en el que ya existen

  ficheros infectados o propagarse a otros ordenadores: disquetes, CD-ROM, trabajo con ficheros en redes de ordenadores, Internet, envío y recepción

  de ficheros adjuntos o incluidos en mensajes de correo electrónico,... etc.

 

  Síntomas de Infección

  La infección de los ficheros EXE, produce la infección del sector de arranque en el disco duro. Por otro lado, se activa el día 3 de Marzo de cualquier

  año realizando "sacudidas" de pantalla.

 

  -=> T.R.E.M.O.R. was done by NEUROBASHER / May-June '92, Germany<=-

  -MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-

 

  Al producirse la infección, el ordenador trabajará de modo más lento, siendo perceptible por el usuario cuando el PC emplea demasiado tiempo en

  realizar determinadas acciones que se le han requerido.

 

  Método de Infección

  Pieck.4444.A tiene las siguientes características:

 

       Multipartite, lo que significa que cada vez que realiza una de sus infecciones, lo hace de diferente forma.

 

       Stealth, con lo que hace difícil su localización y detección

 

        Encriptado, ya que se encuentra codificado para que el análisis de su código sea complicado y por tanto bastante difícil de desinfectar.

 

        Residente, ya que al ser ejecutado el fichero que se encuentra infectado, Pieck.4444.A infecta también el MBR del disco duro y en el

       siguiente arranque se queda residente infectando los ficheros EXE cuando son ejecutados o accedidos. No obstante esto sólo sucede con los

       ficheros que se encuentren en disquetes.

 

 

Nombre:

                                                         Quox.A

                                                    Alias:

                                                         IHC, Newboot, Newboot_1, Parity.Boot, Parity.enc, Quandry, WeRSilly

                                                    Tipo:

                                                         Boot y Residente

                                                 Infecta a:

                                                         Sector de arranque de disquetes y discos duros

                                                Reparable:

                                                         Sí, con Panda Antivirus

                                                   Origen:

                                                         Alemania

                                          Fecha de Aparición:

                                                         Enero del año 1996

                                           Visto "In The Wild":

                                                         Sí

 

 

 

  Características

  Quandary es un virus de MS-DOS que infecta el sector de arranque de los discos duros (MBR - Master Boot Record) y el de los disquetes (Boot). El

  virus se queda residente para infectar el MBR de los discos duros que se encuentren conectados al ordenador infectado y el BOOT de los disquetes

  con los que se trabaje.

 

  Método de Propagación

  Al realizar su infección, Quandary se coloca como residente en memoria. Desde ella infecta todos los disquetes con los que se trabaje. Estos serán

  los que llevarán la infección a otros ordenadores, infectado el sector de arranque del disco duro infectado en otros ordenador.

 

  Comentarios Adicionales

  Fue distribuido en Alemania el mes de enero del año 1996 mediante unos disquetes que contenían el programa "VoiceType Vokabular" de IBM.

 

 

Nombre:

                                                 Satan Bug

                                            Alias:

                                                 S-Bug, Sat Bug.Sat Bug

                                             Tipo:

                                                 Virus polimorfico y residente en memoria

                                         Infecta a:

                                                 Ficheros con extensión EXE o COM (programas ejecutables). Los ficheros COM que tengan más de 60016 bytes y los

                                                 ficheros EXE con menos de 1024 bytes no son atacados por el virus

                                        Reparable:

                                                 Sí, con Panda Antivirus

                                           Origen:

                                                 España

                                   Visto "In The Wild":

                                                 No

 

 

 

  Características

  Se trata de un virus diseñado para infectar ordenadores con MS/DOS. Al infectar, se coloca como residente en memoria. Desde ella espera la

  ejecución de programas (ficheros ejecutables EXE y COM), para infectarlos. Los ficheros con extensión COM cuyo tamaño sea superior a 60016

  bytes y los ficheros con extensión EXE con menos de 1024 bytes no son atacados por el virus.

 

  No tiene efectos destructivos sobre los ficheros que se vean afectados, aunque puede producir errores en los ficheros con extensiones EXE u OVL, al

  ejecutarlos.

 

  Método de Propagación

  Satan Bug emplea cualquiera de los medios habitualmente utilizados por los virus: disquetes, CD-ROM, Internet, envío de mensajes de correo

  electrónico en los que se incluye el fichero infectado, ...etc.).

 

  Síntomas de la infección

  Los ficheros ejecutables que infecta, aumentan de tamaño en 4 ó 5 Kbytes, ya que el virus se copia dentro de su código.

 

 

Nombre:

                                                  Stealth.Boot

                                             Alias:

                                                  StealthBoot.C, HavocSt-Boot.Amse, Nops.B, Stelboo, Stealth, StealthBoot.A, StealthBoot.B, Stealth_Boot

                                             Tipo:

                                                  Boot y Residente

                                          Infecta a:

                                                  Boot de disquetes y Master Boot de discos duros

                                         Reparable:

                                                  Sí, con Panda Antivirus

                                    Visto "In The Wild":

                                                  Sí

 

 

 

  Características

  Los términos BOOT, MASTER BOOT (MBR) y sector de arranque identifican una sección específica de un disco en la que se almacenan las

  propiedades o características de ese disco y los posibles programas que permiten que éste sea capaz de iniciar o arrancar el ordenador. Por otro

  lado, un disco de arranque, de sistema, o de inicio es aquel con el que es posible iniciar o arrancar el ordenador.

 

  En este caso, StealthBoot, es un virus de Boot que infecta el sector de arranque de los disquetes (BOOT) y el sector de arranque de los discos duros

  (MASTER BOOT - MBR). Para que sea efectiva la infección del sector de arranque del disco duro, se debería haber utilizado previamente un disquete

  infectado en el ordenador, ya que es la única forma de contagio posible. Más concretamente, se debería haber iniciado o arrancado el ordenador desde

  un disquete infectado, como disco de arranque o inicio.

 

  Método de Propagación

  El único medio de propagación es la utilización de disquetes, que se encuentren infectados, entre diferentes ordenadores. Para que esta infección se

  propague al disco duro de un sistema es condición indispensable haber arrancado el ordenador desde el disquete que contiene al virus. Cuando ya se

  ha producido la infección, pueden continuar las infecciones a otros discos utilizados.

 

  Síntomas de la infección

  No presenta ningún mensaje ni realiza acciones que el usuario pueda apreciar.

 

  Método de infección

  Para realizar sus infecciones StealthBoot utiliza los disquetes. Desde la memoria, en la que se instala automáticamente al realizar una infección,

  puede infectar todos los discos que se utilicen en el ordenador.

 

 

Nombre:

                                                                   Stoned.NoInt.A

                                                               Alias:

                                                                   Bloomington, Stoned III, LastDirSect

                                                               Tipo:

                                                                   Boot y Residente

                                                       Grupo o Familia:

                                                                   Stoned

                                                            Infecta a:

                                                                   Sector de arranque en disquetes y discos duros

                                                  Indice de Peligrosidad:

                                                                   Alto

                                                           Reparable:

                                                                   Sí, con Panda Antivirus

                                                            Tamaño:

                                                                   2.048 Bytes

                                                    Fecha de Aparación:

                                                                   01/06/91

                                                    Fecha de Activación:

                                                                   Al arrancar el ordenador con un disco infectado

                                                      Visto "In The Wild":

                                                                   Sí

 

 

 

  Características

  Stoned.NoInt.A es un virus de la familia Stoned, que infecta el sector de arranque de disquetes (BOOT) y de discos duros (MASTER BOOT, o Master

  Boot record - MBR). Además se trata de un virus que tras realizar la infección, se coloca en memoria (residente) esperando infectar todos los discos

  que se utilicen. Si el disco es capaz de iniciar el ordenador (disco de arranque), tras la infección le será imposible hacerlo. Por otra parte,

  Stones.NoInt.A o Bloomington puede causar daños indirectos en los ficheros contenidos en el directorio (carpeta) raíz del disco infectado y utiliza

  técnicas para evitar a los programas antivirus (stealth).

 

  Método de Propagación

  El modo empleado por este virus para transmitirse de un ordenador a otro, o contagiar varios ordenadores, es el manejo de disquetes entre los

  distintos PC's. Cuando el disquete infectado es de arranque (permite iniciar el ordenador) y es utilizado para este fin, se infectará al ordenador

  destino haciendo que Stoned.NoInt.A infecte su disco duro.

 

  Síntomas de la infección

  Si el disco infectado fuese un disco de arranque (disco que permite iniciar el ordenador), desde ese momento el disco no será capaz de iniciarse o

  arrancar. Por otro lado, al producirse la infección y haber arrancado el ordenador con el disco infectado, la imposibilidad de hacerlo hará que el

  sistema operativo presente el mensaje con el que se informa al usuario de que el sector de arranque tiene fallos ("Disk boot failure")

 

Nombre:

                                                                        Tai-Pan.438.A

                                                                   Alias:

                                                                        Whisper

                                                                    Tipo:

                                                                        Residente

                                                                Infecta a:

                                                                        Ficheros ejecutables con extensión EXE

                                                                Reparable:

                                                                        Sí, con Panda Antivirus

                                                                 Tamaño:

                                                                        438 Bytes

                                                      Condición de Activación:

                                                                        Al ejecutar un fichero EXE ya infectado

                                                           Visto "In The Wild":

                                                                        Sí

 

 

 

  Características

  Tai-Pan.438.A es un virus de MS-DOS que, tras realizar su infección, se coloca en memoria como residente. Desde ella aguarda la ejecución de

  programas con extensión EXE, para infectarlos en ese momento. No realiza acciones tras la infección salvo colocarse en memoria y propagarse,

  infectando otros ficheros.

 

  Método de propagación

  Para extenderse, utiliza cualquiera de los medios que habitualmente emplean los virus. El virus siempre se encontrará en el interior de los ficheros

  infectados. Por este motivo, al manipularlo con cualquiera de los siguientes métodos, estaremos contribuyendo a su propagación: disquetes,

  CD-ROM, trabajo con ordenadores conectados en red, Internet, fichero adjunto o incluido en un mensaje de correo.

 

  Síntomas de Infección

  El único síntoma apreciable de su infección (ya que no produce acción alguna), es que el fichero infectado aumenta su tamaño en 438 Bytes.

 

  Método de Infección

  Tai-Pan.438.A realiza los siguientes pasos en su proceso de infección:

 

     1.Comprueba si ya se encuentra residente en memoria.

 

     2.Si no lo está, se coloca en la zona de memoria más alta disponible.

 

     3.Desde esa posición espera la ejecución de un fichero con extensión EXE, para infectarlo.

 

     4.Al infectar un fichero, se introduce en él, aumentando el tamaño de éste en 438 bytes. El virus se coloca al final del fichero infectado.

 

Nombre:

                                                     Toadie.7800.B

                                                 Alias:

                                                     Terminate.7800

                                                 Tipo:

                                                     Virus de acción directa

                                              Infecta a:

                                                     Ficheros ejecutables con extensión EXE cuyo tamaño sea mayor que 7800 Bytes

                                             Reparable:

                                                     Sí, con Panda Antivirus

                                     Medio de Propagación:

                                                     Correo electrónico e IRC

                                    Condición de Activación:

                                                     Al ser ejecutado el fichero TOADIE.EXE. Muestra un mensaje si los minutos del sistema marcan 17 minutos

                                        Visto "In The Wild":

                                                     Sí

 

 

 

  Características

  Toadie.7800 infecta ficheros ejecutables (programas) con extensión EXE cuyo tamaño sea superior a 7800 Bytes, tanto en MS-DOS como en

  Windows.

 

  El medio que emplea para su propagación le confiere bastante rapidez ya que para ello emplea el programa de IRC (Chat), mIRC y a programas de

  correo electrónico como Pegasus mail. En el primer caso, el propio virus se encarga de enviar el fichero TOADIE.EXE a los usuarios conectados al

  mismo canal de IRC que el usuario infectado. Por otro lado es capaz de enviar ese mismo fichero como un archivo adjunto a todos los mensajes de

  correo electrónico que se envían. También se propaga dentro del sistema ya infectado, realizando infecciones en todos los ficheros con extensión

  EXE que existan.

 

  Al activarse, dependiendo de ciertas condiciones, mostrará un mensaje de texto por pantalla. Este mensaje será escogido aleatoriamente por el virus

  de entre una serie de posibilidades.

 

  Método de Propagación

  El fichero que produce la infección lleva el nombre de TOADIE.EXE. Dicho fichero es enviado a otros usuarios, mediante el empleo del popular

  programa de IRC (mIRC). Todos los usuarios que en ese momento estén conectados al mismo canal de IRC que el usuario infectado, lo recibirán,

  TOADIE.EXE. Dicho fichero también se incluye automáticamente en todos aquellos mensajes de correo electrónico que se envían desde el ordenador

  ya infectado.

 

  Síntomas de la infección

  El virus no lleva a cabo su infección si el reloj del sistema marca una hora comprendida entre las 15:00 y las 17:00. No obstante, cuando el fichero

  TOADIE.EXE es ejecutado fuera de este horario, el virus infecta todos los ficheros EXE que se encuentren en el disco duro.

 

  Si el reloj del sistema marca una determinada hora, pero los minutos tienen el valor 17, Toadie.7800.B muestra un mensaje por pantalla como el

  siguiente:

 

  "Cross-OS compatable. Dos/Win/os2 exe's can be infected!"

 

  Adicionalmente, si el reloj del sistema marca cualquier hora, pero el valor numérico de los minutos es de 21, Toadie.7800.B presenta uno de los

  siguientes cinco mensajes posibles, a modo de broma:

 

  "There once was a bud named B.C.

  He grew on a 7 foot tree.

  Till one day I plucked him.

  Rolled him and smoked him.

  And now I can barely see!".

 

  "Question: If someone with multiple personalities tries.

  to commit suicide, do the police consider it a hostage.

  situation?".

  .

  "One bong hit, Two bong hit, Three bong hit, Floor.".

 

  "Late one night in the middle of the day, two dead.

  soldiers got up to fight. Back to back they faced.

  each other, pulled out their swords and shot one.

  another. A deaf policeman heard the noise, got up.

  and shot the twice dead boys. If you don't believe.

  me, ask the blind man who saw it all, through a.

  knothole in a wooden brick wall.".

 

  "Ladies and gentlemen, I stand before you to

  stand behind you to tell you something I know

  nothing about. Thursday, which is Good Friday,

  we're having a Father's Day party for mother's only.

  Admission is free, pay at the door, pull out a chair

  and sit on the floor."

 

  Método de la infección

  Toadie.7800.B comprueba la existencia del directorio mIRC. El fichero TOADIE.EXE será copiado en éste directorio, en caso de existir. Además el

  virus modificará el SCRIPT.INI (fichero de configuración del popular cliente de IRC, mIRC). También introduce código capaz de enviar el fichero

  TOADIE.EXE a todos los usuarios conectados al canal donde se encuentra conectado el usuario del ordenador infectado.

 

  Finalmente, localiza el directorio C:\PMAIL\MAIL y hace una copia del mismo fichero TOADIE.EXE en él. El objetivo es poder enviarlo por como

  fichero adjunto o incluido en los mensajes de correo electrónico, modificando aquellos que están en espera de ser enviados.

 

 

Nombre:

                                                                  Trivial.37.D

                                                              Tipo:

                                                                  Sobreescritura. Acción directa

                                                      Grupo o Familia:

                                                                  Trivial

                                                          Infecta a:

                                                                  Ficheros ejecutables con extensión COM

                                                         Reparable:

                                                                  Sí, con Panda Antivirus

                                                           Tamaño:

                                                                  37 Bytes

                                                    Visto "In The Wild":

                                                                  No

 

 

 

  Características

  Pertenece a la familia de virus Trivial. Se trata de un virus de acción directa que infecta ficheros ejecutables (programas) cuya extensión es COM.

  Entre ellos, infecta al fichero COMMAND.COM. Los ficheros infectados quedarán inservibles y si un antivirus detecta el Trivial.37.D, sólo podrá

  eliminar el fichero infectado y con él al virus.

 

  Método de Propagación

  Cuando un fichero COM infectado se ejecuta, automáticamente se comienza la infección de otros ficheros de las mismas características (otros

  programas COM).

 

  Síntomas de la infección

  No presenta efectos visibles, solamente deja inservible el fichero que ha infectado.

 

  Método de infección

  Infecta todos ficheros con extensión COM que se encuentren en el directorio o carpeta en la que está el virus. Para infectarlos, se copia dentro de

  ellos. Esto es lo que provoca que el fichero infectado no sirva posteriormente. Esto implica que esa información jamás se podrá recuperar. LOS

  FICHEROS INFECTADOS QUEDARAN INSERVIBLES Y NO SE PODRÁN RECUPERAR.

 

 

Nombre:

                                                    Trojan/BackOrifice

                                               Alias:

                                                    Trojan.BO.Modified, Trojan.BO.DLL

                                               Tipo:

                                                    Troyano de tipo Backdoor que permite el control remoto de ordenadores

                                    Acciones que realiza:

                                                    Ejecuta comandos, transfiere archivos, modifica el Registro de Windows, borrar programas y directorios

                                           Reparable:

                                                    Sí, con Panda Antivirus

                                      Visto "In The Wild":

                                                    Sí

 

 

 

  Características

  Trojan.BackOrifice es un troyano del tipo Backdoor que permite realizar operaciones en el ordenador afectado, a través de otro que se conectará a

  éste de forma remota. Forman parte de él varios programas. Uno de ellos será el que se instala en el ordenador afectado (servidor), mientras que otro

  será instalado en el ordenador desde el que se puede manipular al primero (cliente).

 

  El troyano se instala y puede trabajar en ordenadores con Windows 95/98, pero no en Windows NT, permitiendo el acceso al sistema donde se instala

  y pudiendo realizar con él las siguientes operaciones: control remoto (desde otro ordenador) de todos los recursos del ordenador atacado, ejecutar

  comandos, transferir archivos, manipular el registro, borrar programas, directorios,... etc.

 

  Método de Propagación

  El programa servidor que forma parte del troyano, llega al ordenador por cualquiera de los siguientes medios: disquetes, CD-ROM, trabajo con

  ficheros en entornos de red, Internet, recepción de mensajes de correo electrónico en los que se incluye el fichero correspondiente al programa

  servidor,... etc.

 

  Síntomas de Infección

  Una vez que el troyano se activa, se consigue la comunicación entre el programa cliente (situado en un ordenador remoto) y el programa servidor

  (instalado en el ordenador afectado) mediante la cual se permiten controlar remotamente todos los recursos del ordenador afectado, haciendo posible

  que se ejecuten comandos, que se transfieran archivos, que se modifique el Registro y que se borren programas y directorios.

 

  Método de Infección

  El programa BOSERVE.EXE es el servidor que se instala de forma automática en el ordenador afectado por el troyano. Mediante un sistema de

  comunicación encriptado, cifrado o codificado con el ordenador desde el que se tiene acceso al infectado, se controlan cada una de las operaciones

  que permite realizar BackOrifice en él.

 

 

Nombre:

                                                       AntiVMOS.B

                                                  Alias:

                                                       ANTI-0, ANTO-ANGE, Gaxelle, Lenart, LiXi, Anti-Cmos, AntiCMOS

                                                  Tipo:

                                                       Boot y Residente

                                          Grupo o Familia:

                                                       AntiCMOS

                                               Infecta a:

                                                       Sector de arranque de disquetes y discos duros. Borra la información de la CMOS

                                              Reparable:

                                                       Sí, con Panda Antivirus

                                                 Origen:

                                                       China

                                               Tamaño:

                                                       2 KBytes

                                        Fecha de Aparición:

                                                       01/01/99

                                         Visto "In The Wild":

                                                       Sí

 

 

 

  Características

  Se trata de un virus de BOOT que infecta el sector de arranque de los discos duros (Master Boot Record - MBR) y el de los disquetes (BOOT). Para

  infectar el MBR de un disco duro debe arrancarse el ordenador desde un disquete infectado ya que no hay otra forma. Una vez infectado el MBR se

  coloca como residente en memoria e infecta todos los disquetes que son accedidos, siempre y cuando estos no estén protegidos contra escritura.

 

  Es originario de China siendo reportado por primera vez el año 1.994 en Hong Kong. Durante varios meses del año 1.995 también fue reportado en

  numerosas ocasiones desde Norteamérica. Produce un efecto consistente en la emisión de sonidos con diferentes frecuencias desde el altavoz del

  PC.

 

  Método de Propagación

  La única forma mediante la cual AntiCMOS.B puede infectar un ordenador es arrancándolo desde un disquete que ya se encuentre infectado por el

  virus. Este disquete habría sido infectado previamente por el hecho de utilizarlo en un ordenador infectado del mismo modo.

 

  Síntomas de la infección

  Debido a su situación de residente en memoria, AntiCMOS.B hace que la capacidad de ésta se vea mermada en 2 Kbytes, coincidiendo con el tamaño

  del virus que se colocará en una sección de la misma. Como efecto secundario emite pitidos a través del altavoz del ordenador, de diferentes

  frecuencias.

 

  Método de infección

  AntiCMOS.B realiza las siguientes operaciones:

 

     1.Controla los accesos a discos.

 

     2.Crea un hueco de 2 Kbytes en la memoria para copiarse a sí mismo en ella (residente).

 

     3.Comprueba si se está ejecutando desde el sector de arranque de un disquete o desde el de un disco duro.

 

     4.Intercepta el servicio de acceso a cualquier disco que se utilice.

 

     5.En cada ocasión que se acceda a un disco, AntiCMOS.B, si éste estuviese libre de virus, lo infectará.

 

     6.AntiCMOS.B sobreescribe el sector de arranque del disco duro.

 

     7.Intenta arrancar el ordenador con el sector de arranque que colocó en el disco duro infectado.

 

 

Nombre:

                                                   BackDoor/BladeRunner

                                              Alias:

                                                   BackDoor.Z

                                               Tipo:

                                                   Troyano de Tipo Backdoor

                                   Acciones que realiza:

                                                   Acceso a la estructura de directorios y ficheros, capacidad para operar con ficheros y directorios: renombrarlos,

                                                   borrarlos, crear directorios, ejecutar aplicaciones, observar las aplicaciones que la víctima se encuentra

                                                   ejecutando en su ordenador, eliminación de tareas que se encuentren en ejecución, enviar cuadros de diálogo

                                                   con mensajes, ver la hora correspondiente al ordenador de la víctima, mostrar ficheros de imágenes y sonido en

                                                   el ordenador de la víctima, ocultar/mostrar la barra de tareas, reiniciar o apagar el equipo atacado, abrir un

                                                   canal de Chat, cambiar el tapiz del Escritorio, mostrar/ocultar el puntero del ratón, situar el puntero del ratón en

                                                   una coordenada concreta de la pantalla, abrir/cerrar la bandeja de CD-ROM, obtener información de la víctima:

                                                   nombre del usuario, sistema operativo, tipo de procesador, resolución y otros datos de interés,... etc.

                                          Reparable:

                                                   Sí

                                     Visto "In The Wild":

                                                   No

 

 

 

  Características

  Backdoor/BladeRunner es un troyano que permite al atacante (desde su ordenador) el acceso a los recursos del ordenador atacado. Esto lo

  conseguirá mediante una conexión a Internet. El troyano está compuesto de un programa cliente y otro programa servidor. El primero se instala en el

  ordenador desde el que se pretende realizar el ataque, permitiendo la realización de operaciones en el ordenador atacado (mediante la conexión y

  comunicación con el programa servidor). El programa servidor, se instala automáticamente en el ordenador de la víctima.

 

  Método de Propagación

  El programa servidor llega al ordenador que se pretende atacar, de tal forma que parezca un programa interesante. De este modo el receptor lo

  ejecutará. Esto provocará la instalación del troyano (programa servidor) en su ordenador. Dicho fichero puede llegar a través de disquetes, CD-ROM,

  Internet, ordenadores en red, mensajes de correo electrónico en los que se incluyen o adjuntan ficheros,... etc.

 

  Síntomas de Infección

  Los efectos que puede producir el ataque del troyano, son los siguientes:

 

       Capacitado para renombrar y borrar ficheros y directorios, ejecutar aplicaciones, crear directorios,... etc.

 

       Conocer en todo momento las aplicaciones que la víctima se encuentra ejecutando.

 

       Capacidad para eliminar cada una de las tareas (programas) que la víctima esté ejecutando.

 

       Enviar cuadros de diálogo en los que se mostrarán mensajes.

 

       Ver la hora que aparece en el ordenador de la víctima.

 

       Mostrar ficheros de imágenes y sonido en el ordenador de la víctima.

 

       Ocultar/Mostrar la barra de tareas.

 

       Reiniciar o apagar el equipo atacado.

 

       Abrir un canal de Chat.

 

       Cambiar el tapiz del Escritorio.

 

       Mostrar/Ocultar el puntero del ratón, o situarlo en una coordenada concreta de la pantalla.

 

       Abrir/Cerrar la bandeja de CD-ROM.

 

        Obtener información de la víctima: nombre del usuario, sistema operativo, tipo de procesador, resolución y otros datos de interés,...

 

 

  Modo de Infección

  Cuando el usuario ejecuta el programa servidor (que habrá llegado al equipo por alguno de los medios habitualmente empleados por los virus), éste se

  instalará, modificando el Registro de Windows. La finalidad es ejecutar dicho el programa siempre que se reinicie o arranque el sistema.

 

 

Nombre:

                                                   Backdoor/FakeFTP

                                               Tipo:

                                                   Troyano que descomprime otro troyano del tipo Password Stealer

                                   Acciones que realiza:

                                                   Descomprime a otro troyano denominado Trojan/PSW.Ring0.B, como un fichero denominado HTFTP.EXE.

                                                   Además roba las contraseñas de usuario que serán enviadas a una dirección de correo electrónico o FTP

                                          Reparable:

                                                   Sí

                                     Visto "In The Wild":

                                                   No

 

 

 

  Características

  Backdoor/FakeFTP, es un troyano que descomprime un fichero con el nombre de HTFTP.EXE Dicho fichero es otro troyano de tipo Password stealer

  que corresponde al troyano Trojan/PSW.Ring0.B. Ambos se detectan con Panda Antivirus.

 

  Cada uno de los dos troyanos se encargan de localizar las contraseñas (passwords) del usuario y enviarlas (por correo electrónico o FTP). Para ello

  busca los ficheros donde éstas se guardan o simula la existencia de un error para que el usuario se vea obligado a introducir sus contraseñas.

 

  Método de Propagación

  Backdoor/FakeFTP no tiene una forma concreta de propagarse. Los medios que emplea para ello son los habituales: disquetes, CD-ROM, redes de

  ordenadores, recepción de mensajes de correo electrónico en los que se adjunta o incluye el fichero correspondiente al troyano, mediante FTP,

  downloads,... etc.

 

  Síntomas de infección

  La infección provoca que aparezca en el sistema en fichero denominado HTFTP.EXE. Este forma parte de otro troyano denominado Trojan/PSW.Ring0.B.

 

  Comentarios adicionales

  Ambos troyanos (Backdoor/FakeFTP y Trojan/PSW.Ring0.B) son igualmente detectados por Panda Antivirus.

 

 

Nombre:

                                                   BCK/DonaldDick.152

                                              Alias:

                                                   Backdoor/Donald_Dick

                                               Tipo:

                                                   Troyano de tipo Backdoor que permite el acceso remoto a otros ordenadores

                                   Acciones que realiza:

                                                   manipulación de archivos y directorios (creación, eliminación, cambio de nombre, download,... etc.), desactivar

                                                   procesos, cambiar la prioridad de los procesos existentes, tratamiento de claves, alteración de la fecha del

                                                   sistema, captura de las pantallas que tiene abiertas el usuario víctima del troyano, cierre de ventanas abiertas,

                                                   obtención de las pulsaciones realizadas en la introducción de una password (aunque ésta esté protegida con una

                                                   máscara de edición), apagado y encendido del monitor, apertura y cierra de la bandeja del CD-ROM, reinicio del

                                                   sistema,... etc.

                                             Origen:

                                                   Rusia

                                          Reparable:

                                                   Sí

                                     Visto "In The Wild":

                                                   No

 

 

 

  Características

  Como todos los troyanos de tipo Backdoor se compone de dos partes o programas. El programa cliente y el programa servidor. El servidor es el que

  se ejecuta desde el ordenador víctima, que se encuentra afectado por el troyano. Este realiza las acciones necesarias para conseguir el acceso

  remoto a él desde otro ordenador en el que se encuentra instalado el programa cliente.

 

  BCK/DonaldDick.152 funciona bajo Windows 95, Windows 98 y Windows NT. En cada uno de éstos, puede realizar cualquiera de las siguientes

  acciones: manipulación de archivos y directorios (creación, eliminación, cambio de nombre, download,... etc.), desactivar procesos, cambiar la

  prioridad de los procesos existentes, tratamiento de claves, alteración de la fecha del sistema, captura de las pantallas que tiene abiertas el usuario

  víctima del troyano, cierre de ventanas abiertas, obtención de las pulsaciones realizadas en la introducción de una password (aunque ésta esté

  protegida con una máscara de edición), apagado y encendido del monitor, apertura y cierra de la bandeja del CD-ROM, reinicio del sistema,... etc.

 

  Método de Propagación

  Para provocar la infección de cualquier ordenador, BCD/DonaldDick.152 se sirve de un fichero, en el que llega al ordenador. Dicho fichero podría

  utilizar cualquiera de los medios habituales empleados por los virus: disquetes, CD-ROM, redes, Internet, fichero adjunto o incluido en un mensaje de

  correo electrónico,...etc.

 

  Síntomas de Infección

  Las operaciones que desde el ordenador que contiene el programa cliente, se pueden realizar en el ordenador afectado (el que tiene el programa

  servidor), se agrupan por tipos:

 

  Esta operación de borrado será apreciable por el usuario ya que éste muestra cada uno de las operaciones de eliminación de directorios que lleva a

  cabo, tal y como se puede ver en la imagen adjunta.

 

       File System: manejo de ficheros y directorios. Hace posible crear y borrar ficheros y directorios, cambiarlos de nombre, copiarlos, cambiar sus

       fechas, copiarlos al ordenador desde el que se ataca (download), copiarlos desde el ordenador desde el que se ataca al ordenador víctima

       (upload),... etc.

 

        Processes and Threads: el hacker podrá crear procesos, finalizarlos, o alterar sus prioridades desde el ordenador que tiene el control del

       infectado.

 

       Registry: permite crear, cambiar y borrar claves y valores en el Registro Windows.

 

        System: permite visualizar y cambiar la fecha del sistema afectado. También hace posible obtener información sobre los directorios más

       importantes, el nombre de la computadora y del usuario infectado,... etc.

 

       Windows: permite obtener una lista de las ventanas que en ese momento tiene abiertas el usuario infectado, así como sus características.

       Además hace posible capturar la pantalla completa o la ventana que se indique. Adicionalmente, es posible cerrar la ventana en la que el

       usuario afectado está trabajando en ese momento.

 

       Keyboard: permite conocer las pulsaciones de teclas que el usuario atacado está realizando. De esta forma es posible obtener las passwords

       o contraseñas que se hayan tecleado, aunque estés estén protegidas.

 

        Miscellaneous: son funciones cuya única finalidad es realizar efectos extraños en el ordenador atacado. Algunas de ellas permiten enviar

       mensajes de texto a dicho ordenador, emitir sonidos, abrir/cerrar la bandeja del CD-ROM, Apagar/Encender el monitor y reiniciar o apagar el

       sistema.

 

       PassWords: permite obtener las contraseñas correspondientes al protector de pantalla.

 

        Server: hace posible realizar operaciones sobre el programa servidor, como cambiar su password, reiniciarlo, finalizar su ejecución, o

       reinstalarlo.

 

 

  El programa cliente que manipula el supuesto hacker desde su ordenador para realizar las acciones correspondientes en el ordenador afectado por el

  troyano, tiene el siguiente aspecto:

 

 

 

  Método de Infección

  El troyano emplea dos protocolos de comunicaciones para conectar el programa servidor con el programa cliente. Estos protocolos son los

  denominados SPX y TCP. Cada uno de ellos puede emplear dos puertos de comunicaciones.

 

 

Nombre:

                                                    BAT/Worm.Firkin.C

                                                Alias:

                                                    W95/Firkin.worm, BAT/Firkin.worm, BAT.Chode.Worm, Foreskin, BAT911

                                                Tipo:

                                                    Gusano que se transmite a través de ordenadores conectados a Internet, que tengan el disco duro compartido

                                                    sin contraseña

                                            Reparable:

                                                    Sí

                                   Codición de Activación:

                                                    Dependiendo de un valor calculado de forma aleatoria

                                              Origen:

                                                    Estados Unidos. Se conoció a través de una nota de prensa editada por el NIPC (U.S. National Infrastructure

                                                    Protection Center, perteneciente al FBI)

                                       Visto "In The Wild":

                                                    No

 

 

 

  Características

  BAT/Worm.Firkin.C es un gusano creado con el leguaje de MS-DOS para ficheros de procesos por lotes (ficheros con extensión BAT). Este, consta de

  varios ficheros BAT. Cada uno de ellos tiene un cometido distinto.

 

  El gusano aprovechar que muchos usuarios comparten su disco duro (con otros usuarios que trabajan en la misma red) sin emplear contraseñas. El

  problema surge cuando el ordenador con el disco compartido sin contraseña, accede a Internet. Entonces el disco duro será completamente

  accesible. BAT/Worm.Firkin.C localiza direcciones IP que puedan corresponder a cada uno de los ordenadores en los que se comparte el disco duro,

  sin contraseña. Al detectar una dirección IP correspondiente a un ordenador que comparte su disco duro sin contraseña, el gusano copia todos los

  ficheros existentes en él.

 

  El día 19 de cualquier mes el gusano se activa y elimina todos los ficheros que se encuentren en los directorios C:\WINDOWS,

  C:\WINDOWS\SYSTEM, C:\WINDOWS\COMMAND y el directorio raíz del disco duro (C:\). Después muestra por pantalla una serie de cuadros de

  diálogo con mensajes de texto.

 

  Método de Propagación

  El método de propagación que emplea este gusano es particular ya que realiza su infección a través de una conexión a Internet. Este no es el único

  requisito, ya que BAT/Worm.Firkin.C no podrá "infectar" cualquier ordenador que localice en una conexión a Internet. El requisito indispensable es

  que éste tenga su disco duro compartido en red y que además para compartirlo con otros usuarios no se haya empleado una contraseña. En tal caso

  el ordenador con estas características podrá ser atacado por el gusano.

 

  Síntomas de la infección

  El día 19 de cualquier mes, el gusano se activa, llevando a cabo sus acciones destructivas. Estas consisten en la eliminación o borrado de todos los

  ficheros que se encuentren en los siguientes directorios: C:\WINDOWS, C:\WINDOWS\SYSTEM, C:\WINDOWS\COMMAND y el directorio raíz del

  disco duro (C:\).

 

  Después de hacerlo, presenta por pantalla una cuadro de diálogo con un mensaje de texto, como el siguiente:

 

 

 

  Al pulsar el botón Aceptar, el gusano muestra otro cuadro de diálogo como el siguiente:

 

 

 

  El fichero AUTOEXEC.BAT (que se ejecuta siempre que el ordenador arranca) se modifica. Al final del mismo se añade la línea CHOCHER.BAT, que

  ejecuta (de forma automática) un fichero con ese mismo nombre. Dicha ejecución calcula un valor. Dependiendo del resultado obtenido, puede ocurrir

  una de las siguientes tres situaciones:

 

       Al arrancar el sistema (o ejecutar el fichero), se busca un módem y se realiza una llamada al numero de emergencias de algunos países (por

       ejemplo, 911 en EE.UU.). Con ello, se puede retrasar la atención de las verdaderas llamadas de emergencia que se realizan a este tipo de

       servicios. El gusano realiza esta operación, con una probabilidad de 4/7.

 

       Formatear las unidades de disco D:, E:, F:, G: y H:. Cuando éstas han sido formateadas (se perderá toda su información), el gusano muestra

       un mensaje por pantalla, con el siguiente texto:

 

 

       "tHE cHOdE gOTcHA yOu sTUpID mOThER fUCKeR!!!!!!!!!!!!!!"

 

       Después de mostrarlo, se formatea la unidad de disco C:. Esta acción que puede realizar el gusano dependiendo del valor obtenido, ocurre

       con una probabilidad del 1/7.

 

       En el resto de ocasiones, el gusano no hace nada.

 

 

  Infección

  BAT/Worm.Firkin.C emplea varios ficheros para funcionar. Estos son los siguientes:

 

        ASHIELD.PIF y NETSTAT.PIF: son accesos directos que el gusano coloca en un determinado directorio. Cada uno de ellos se ejecutará

       automáticamente cuando se reinicie Windows.

 

       ASHIELD.PIF: es un acceso directo mediante el cual se ejecuta el fichero HIDE.BAT. Con ello se consigue ejecutar el fichero NETSTAT.PIF.

 

       El archivo NETSTAT.PIF, a su vez, ejecuta el fichero CHODE.BAT. Este último es la parte principal del gusano.

 

       Se realiza una espera de 10 segundos.

 

       Transcurrido este tiempo, se ejecuta el fichero RANDOM.BAT.

 

        El fichero RANDOM.BAT analiza una serie de subredes de varios Proveedores de Internet conocidos, tanto de EE.UU., como de Canadá.

       Entre ellos, destacan los siguientes:

 

 

            ATT Wordnet

 

            Level3 Net

 

            AOL (America OnLine)

 

            Mindspring

 

            BellSouth Net

 

            Earthlink

 

            Air Internet

 

            PSIne

 

 

       Cuando se consigue una dirección IP, se obtiene información de ésta y se conoce si está accesible. Si no lo está, se mostrará por pantalla el

       siguiente mensaje: FOUND POTENTIAL PLAYGROUND ..................

 

       La modificación del fichero AUTOEXEC.BAT hace posible que el ordenador afectado por el gusano vuelva a repetir · El gusano comprueba si

       el ordenador ya ha sido atacado por el gusano BAT/Worm.Firkin.A, o por el gusano BAT/Worm.Firkin.B el mismo ciclo, cada vez que se inicie o

       arranque.

 

       Comprueba si existe acceso de lectura en la unidad compartida.

 

       El gusano calcula un valor aleatorio.

 

       En el 1/6 de los casos, copia al final del fichero AUTOEXEC.BAT (correspondiente al ordenador atacado), el fichero CHOCHER.BAT. En otros

       casos mostrará el mensaje "LUCKY BASTARD" por pantalla.

 

       Copia los ficheros ASHIELD.PIF, NETSTAT.PIF y WINSOCK.VBS en un directorio que permite la ejecución de cada uno de ellos cuando el

       ordenador atacado se arranca o reinicia.

 

       Adicionalmente, escribe en el interior del fichero CHODE.TXT.

 

 

  El fichero WINSOCK.VBS que se encontrará en el directorio C:\WINDOWS\START MENU\PROGRAMS\STARTUP es quién provoca la realización de

  las acciones destructivas (eliminación de ficheros) correspondientes al gusano.

 

 

 

Nombre:

                                                    BO2K

                                                Alias:

                                                    BackOrifice_2000, BakOrifice2000

                                                Tipo:

                                                    Troyano

                                     Acciones que realiza:

                                                    Reiniciar el ordenador de la víctima, bloquearlo, modificar las claves del Registro de Windows,... etc.

                                            Reparable:

                                                    Sí

                                       Visto "In The Wild":

                                                    Sí

 

 

 

  Características

  BO2K, o BackOrifice_2000, es un troyano destinado a la intrusión en otros ordenadores. Existen dos programas que forman parte del troyano: el

  cliente y el servidor. El programa servidor llega al ordenador de la víctima como un fichero que al ejecutarse, se instala en el sistema (instalado

  silenciosamente en el ordenador de la víctima). Por su parte el programa cliente es el programa que permite controlar las acciones del ordenador

  atacado, desde otro ordenador (instalado en el programa del atacante).

 

  Una vez se ha establecido la comunicación entre el programa cliente (en el ordenador atacante) y el programa servidor (en el ordenador atacado), el

  troyano puede realizar una gran variedad de acciones en el ordenador de la víctima: reiniciarlo, bloquearlo, realizar modificaciones en el Registro de

  Windows,... etc.

 

  Método de Propagación

  Esta tarea se puede realizar directamente (si el supuesto hacker tiene acceso al ordenador en cuestión), o bien introduciéndolo en el ordenador

  atacado. El programa servidor aparecerá en el ordenador de la víctima como un fichero que puede haber llegado mediante disquetes, CD-ROM,

  Internet, como un fichero adjunto a un mensaje de correo electrónico, en un canal de Chat,... etc.

 

  Síntomas de Infección

  Cuando el troyano (el programa servidor), éste será ejecutado por la víctima. En ese instante, BO2K se instala en el directorio \WINDOWS\SYSTEM.

  Por defecto, el nombre del fichero es UMGR32.EXE, aunque es posible tenga cualquier otro nombre.

 

  BO2K modifica el Registro de Windows, para que el programa servidor se ejecute cada vez que el usuario atacado arranque, inicie, o encienda el

  sistema. Las posibles operaciones que éste realizará son abundantes. Como un ejemplo, podrá reiniciar el ordenador de la víctima, bloquearlo,

  modificar las claves del Registro de Windows,... etc.

 

  Infección

  BO2K consta de 4 programas principales: un programa servidor, un programa cliente, un programa de configuración y un programa que funciona como

  plugin.

 

        El programa servidor es quien se instala en el ordenador atacado. Permite atender cada una de las peticiones que le realiza el programa

       cliente.

 

       El programa cliente es manejado por el intruso desde su equipo, para realizar el ataque.

 

       El programa de configuración es utilizado por el atacante para indicar como debe actuar el programa servido, tras instalarse en el ordenador

       de la víctima.

 

       El programa de adaptación (plugin) se encargará de permitir la comunicación entre el programa servidor y el programa cliente.

 

 

 

Nombre:

                                                        Cascade.1704.A

                                                   Alias:

                                                        Falling Letters, BlackJack

                                                   Tipo:

                                                        Residente

                                                Infecta a:

                                                        Ficheros con extensión COM, incluido el COMMAND.COM

                                               Reparable:

                                                        Sí, con Panda Antivirus

                                                 Tamaño:

                                                        1704 Bytes

                                                  Origen:

                                                        Alemania

                                         Fecha de Aparición:

                                                        Comienzos de los 90

                                      Condición de Activación:

                                                        Fecha entre los meses de Octubre y Diciembre de los años comprendidos entre 1988 y 1980

                                          Visto "In The Wild":

                                                        Sí

 

 

 

  Características

  Cascade.1704.A es un virus de MS-DOS que se coloca automáticamente en memoria como residente. En ella permanece mientras va realizando las

  infecciones de los ficheros con extensión COM que se ejecutan, incluido el intérprete de comandos COMMAND.COM.

 

  Su primer cometido es comprobar la fecha en el reloj del sistema. Si ésta corresponde al año 1988 o el año 1980 y además está comprendida entre

  los meses de Octubre y Diciembre, el virus se activa. Esto sólo ocurre cuando se dan las condiciones anteriormente comentadas y se ejecuta un

  fichero con extensión COM ya infectado. Al activarse hace que las letras correspondientes al texto que se esté mostrando en pantalla vayan cayendo

  en cascada, formando un montón en el fondo de ésta.

 

  Método de propagación

  El virus cascade.1704.A puede utilizar cualquiera de las técnicas habitualmente empleadas por los virus, para asegurar propagarse tanto dentro del

  propio sistema, como hacia el exterior: disquetes, CD-ROMs, trabajo con ficheros infectados en redes de ordenadores, Internet, envío y recepción de

  mensajes de correo electrónico en los que se adjunta o incluyen ficheros ya infectados.

 

  Síntomas de Infección

  Siempre que se den las siguientes condiciones el virus hace que cada una de las letras correspondientes al texto que en ese instante se muestre en

  pantalla, vayan cayendo al fondo de la misma, formando un montón. Las condiciones para que esto suceda son:

 

       Que el año reflejado en la fecha del sistema sea 1988 o 1980.

 

       Que dicha fecha se encuentre comprendida entre los meses de Octubre y Diciembre.

 

        Que dadas las dos condiciones anteriores, se ejecute un fichero que ya se encuentra infectado por el virus Cascade.1071.A.

 

 

  Método de Infección

  La primera acción que lleva a cabo consiste en comprobar si ya se encuentra residente en memoria. Si aún lo está, se colocará en ella. Tras haber

  comprobado si se encuentra como residente en memoria y colocarse en ella en caso de no estarlo, comprueba si la fecha corresponde al año 1988 o

  al año 1980 y si está comprendida entre los meses de Octubre y Diciembre. En tal caso, hace que las letras del texto que se muestre en ese

  momento en pantalla vayan cayendo.

 

  Es capaz de infectar ficheros copiando su propio código al final de éstos y aumentando su tamaño en 1704 bytes, pero sin variar sus fechas de

  creación. Por otro lado se trata de un virus encriptado (cifrado o codificado).

 

 

Nombre:

                                                                   Cruel

                                                               Tipo:

                                                                   Boot

                                                            Infecta a:

                                                                   Sector de arranque de disquetes y discos duros

                                                           Reparable:

                                                                   Sí, con Panda Antivirus

                                                             Origen:

                                                                   Hungría

                                                  Indice de peligrosidad:

                                                                   Elevado

                                                      Visto "In The Wild":

                                                                   Sí

 

 

 

  Características

  Por ser un virus de BOOT, infecta el sector de arranque de los discos duros (MBR - Master Boot Record) y el de los disquetes (Boot). La única forma

  posible para que se infecte un disco duro es que el ordenador se arranque desde un disquete que ya tiene infectado su Boot, no existe otra

  posibilidad. Puede corromper la información del arranque y eliminar los datos contenidos en la memoria CMOS.

 

  Método de Propagación

  El medio de propagación que emplea para extenderse son las unidades de disco (disquetes). La única forma posible para infectar un ordenador es

  arrancarlo desde un disquete que previamente contenga e virus. Cuando Cruel ya se encuentra residente en la memoria del ordenador infectado,

  infectará todos discos a los que se acceda desde ese PC.

 

  Síntomas de la infección

  En ciertas ocasiones corrompe la información contenida en el sector de arranque mientras que en otras hace que la información contenida dentro de

  la memoria CMOS se pierda. En cualquiera de los dos casos, el virus puede ser considerado como muy peligroso.

 

 

 

 

 

Nombre:

                                                 DeadBoot.448

                                             Tipo:

                                                 Boot, Multipartite y Residente

                                         Infecta a:

                                                 Sector de arranque de discos duros (MBR - Master Boot Record) y de disquetes (Boot). Además también infecta

                                                 ficheros ejecutables, con extensión EXE

                                        Reparable:

                                                 Sí, con Panda Antivirus

                                   Visto "In The Wild":

                                                 No

 

 

 

  Características

  Se trata de un virus de Boot, Multipartite (infecta los sectores de arranque de discos duros y disquetes, así como ficheros ejecutables). Los ficheros

  ejecutables que infecta son aquellos que tienen extensión EXE. Tras infectar el sector de arranque del disco duro, se coloca como residente en la

  memoria. DeadBoot.488 se puede desinfectar, pero la información contenida en los directorios o carpetas del disco afectado será inaccesible (la cifra

  o codifica).

 

  Método de Propagación

  Para extenderse emplea los disquetes que infecta, y los fichero con extensión EXE. Por tanto, puede propagarse mediante los siguientes medios:

  unidades de disco, ordenadores conectados en red, Internet, FTP, como ficheros adjuntos o incluidos en un mensaje de correo electrónico,... etc.

 

  Método de infección

  Como resultado de la infección, la información contenida en los directorios del disco infectado, no será accesible. Adicionalmente, el espacio libre en

  la memoria alta, se reducirá en 1 Kb.

 

 

Nombre:

                                                              Sevilla 2

                                                         Alias:

                                                              Eco.B, Bleah.C

                                                         Tipo:

                                                              Boot, Residente, Stealth

                                                      Infecta a:

                                                              BOOT en disquetes y Master BOOT en discos duros

                                                     Reparable:

                                                              Sí, con Panda Antivirus

                                                      Tamaño:

                                                              512 Bytes

                                                        Origen:

                                                              España

                                                Visto "In The Wild":

                                                              Sí

 

 

 

  Características

  Se trata de un virus de BOOT, que infecta el sector de arranque de los disquetes (BOOT) y el de los discos duros (MASTER BOOT). Se colocará

  como residente en la memoria para, desde ella, procurar la infección de todos los discos a los que se acceda.

 

  Método de Propagación

  Por tratarse de un virus de Boot, Sevilla2 se propagará utilizando para ello los disquetes. Si estos se encuentran infectados y desde ellos se arranca

  un ordenador (aunque no sean discos de sistema), el Master Boot (sector de arranque) del disco duro será igualmente infectado. Si Sevilla2 ya

  hubiese infectado un ordenador, éste infectará todos aquellos disquetes que se utilicen en dicho ordenador.

 

  Síntomas de la infección

  El método mediante el cual se produce la infección de las unidades de disco duro existentes en un ordenador es mediante el arranque de éste desde

  un disquete infectado por Sevilla 2.

 

  Cambia de lugar el correcto y original sector de arranque (Boot o Master Boot) de los discos infectados, sustituyéndolo por uno de cosecha propia

  que se encuentra infectado. Como el Boot antiguo no se pierde, Sevilla 2 puede engañar a los analizadores de los programas antivirus.

 

 

Nombre:

                                                    Exe.Bug.A

                                                Alias:

                                                    ExeBug, Exe_Bug, Exe_Bug.Hooker, Exe_Bug.A, Hooker, Int_0B, CMOS-1, CMOS Killer, Swiss Boot

                                                Tipo:

                                                    Boot, Residente y Stealth

                                             Infecta a:

                                                    Sector de arranque de disquetes y disco duro. Ficheros ejecutables con extensión EXE, Tabla de Asignación de

                                                    Ficheros (FAT)

                                            Reparable:

                                                    Sí, con Panda Antivirus

                                   Indice de Peligrosidad:

                                                    Alto

                                              Origen:

                                                    Suiza y Sudáfrica

                                      Fecha de Aparición:

                                                    01/10/92

                                   Condición de infección:

                                                    Al utilizar discos infectados. El MBR sólo se infecta al arrancar el PC desde un disquete infectado

                                       Visto "In The Wild":

                                                    Sí

 

 

 

  Características

  Es un virus de Boot que infecta el sector de arranque de los discos duros (Master Boot Record) y el de los disquetes (Boot). Desde la memoria

  (residente) intercepta todos los accesos a disco que se realicen. La única forma de infectar un disco duro es arrancando el ordenador con un disquete

  ya infectado en la disquetera. Infectará todos los disquetes que se utilicen (en el ordenador infectado), siempre y cuando no estén protegidos contra

  escritura. Los efectos que produce son:

 

       Mueve el sector de arranque original del disco infectado a otra posición del mismo.

 

       Infecta ficheros ejecutables, con extensión EXE

 

       Impide el acceso a la información en el disco duro.

 

 

  Método de Propagación

  Exe.Bug.A emplea los disquetes para propagarse, aunque también es cierto que desde un disco duro infectado es posible infectar cualquier disquete

  que se utilice en ese ordenador y no se encuentre protegido contra escritura.

 

  Síntomas de la infección

  Una vez producida la infección sólo se puede arrancar el ordenador desde un disquete, de otra manera será imposible. Un resumen de síntomas sería

  el siguiente:

 

       Imposibilidad de arrancar correctamente el ordenador.

 

       Imposibilidad para acceder a la información del disco duro.

 

       Disminución de la memoria libre en 1 Kb.

 

 

  Método de infección

  Desde la memoria, en la que está como residente, intercepta los acceso a discos. Su función es la de infectar todos aquellos discos que sean

  utilizados. Consigue que el disco duro no sea accesible si se arranca desde disquete, siendo ésta la única forma de iniciar el ordenador.

 

  Mueve a otra posición del disco el sector de arranque original, por lo que se le considera un virus que emplea técnicas de ocultación. También Infecta

  determinados ficheros con extensión EXE, de tal forma que al ejecutar cualquiera de ellos, Exe.Bug.A modifica la Tabla de Asignación de Ficheros. Es

  por tanto un virus bastante destructivo.

 

 

Nombre:

                                                                  Form.D

                                                             Alias:

                                                                  Form May, Form Boot, Form-18

                                                             Tipo:

                                                                  Boot y Residente

                                                            Grupo:

                                                                  Form

                                                          Infecta a:

                                                                  Sector de arranque de disquetes y disco duro

                                                         Reparable:

                                                                  Sí, con Panda Antivirus

                                                            Origen:

                                                                  Suiza

                                                          Tamaño:

                                                                  512 Bytes

                                                   Fecha de Activación:

                                                                  Día 18 de cada mes

                                                    Visto "In The Wild":

                                                                  Sí

 

 

 

  Características

  Es un virus de Boot que infecta el sector de arranque de los disquetes (BOOT) y el sector de arranque de los discos duros (Master Boor Record -

  MBR). Sus consecuencias no son destructivas pero permanece residente en memoria esperando infectar desde ella todos aquellos discos con los que

  se trabaje. Si protegemos los disquetes contra la escritura (pestaña del disquete abierta), no serán infectados. Un disco duro sólo podrá ser infectado

  si se arranca el ordenador desde un disquete también infectado. El día 18 de cada mes Form.D emitirá un sonido "click" por el altavoz del PC cada

  vez que se pulse una tecla.

 

  Método de Propagación

  El medio de propagación empleado son las unidades de disco. El disquete que se utiliza en varios ordenadores puede extender rápidamente el virus,

  aunque hay que recalcar que solamente se realizará la infección si se intenta arrancar el ordenados con un disquete infectado.

 

  Síntomas de la infección

  El único efecto que Form.D realiza tiene lugar el día 18 de cada mes, haciendo sonar un "click" por el altavoz del PC cada vez que se pulse una tecla.

  En la mayoría de los ordenadores ni siquiera se producirá debido a ciertos controladores de teclado que estarán instalados.

 

  Método de infección

  El virus llega al ordenador al acceder a un disquete que previamente se encuentra infectado. Sólo cuando el ordenador se intente arrancar desde ese

  disquete, se producirá la infección.

 

  A partir de ahí, Form.D comienza a realizar toda su labor. El primer paso es colocarse como residente en memoria y desde allí esperar el acceso a

  cualquier unidad de disco, para su infección.

 

 

Nombre:

                                                   W32/Fix2001

                                              Alias:

                                                   I-Worm.Fix2001, Fix2001.exe, Fix2001, W95/Backdoor.Fix2001, W32/Fix, Troj_Fix2001

                                               Tipo:

                                                   Gusano

                                   Acciones que realiza:

                                                   Se envía a sí mismo mediante el fichero FIX2001.EXE incluido en mensajes de correo electrónico, elimina el

                                                   COMMAND.COM y elimina la información del disco duro

                                            Tamaño:

                                                   12288 Bytes

                                          Reparable:

                                                   Sí, con Panda Antivirus

                                     Fecha de Aparición:

                                                   10/09/99

                                     Visto "In The Wild":

                                                   Sí

 

 

 

  Características

  W32Fix2001 es un gusano que se propaga mediante correo electrónico, pretendiendo simular que se trata de un programa que solucionará el posible

  problema del Efecto 2000. En el mensaje que envía adjunta o incluye un fichero que al ser ejecutado introducirá al gusano en el ordenador del

  destinatario. Si se ejecuta el fichero que acompaña al mensaje, FIX2001.EXE el gusano se instala en el sistema. Cuando el usuario vuelve a arrancar

  el ordenador (en el próximo inicio del sistema) W32/Fix2001 estará preparado para realizar sus envíos, sustituir el fichero COMMAND.COM por otro

  con el mismo nombre y eliminar la información del disco duro.

 

  Método de Propagación

  Cuando el usuario infectado envía un mensaje a un destinatario, W32/Fix2001 envía inmediatamente su mensaje de infección (en el que se incluye el

  fichero FIX2001.EXE) al mismo usuario, haciéndole creer que se trata de una solución frente al problema del Efecto 2000.

 

  Síntomas de la infección

  El síntoma de que el gusano ha llegado al ordenador (aunque esto no quiere decir que se haya producido la infección) es la llegada del mensaje de

  correo electrónico (en castellano o inglés) que el propio gusano envía desde otro ordenador infectado adjuntando el fichero FIX2001.EXE. Este

  mensaje tiene las siguientes características (en castellano e inglés):

 

  De: Administrador

  Para:"usuario al que el remitente acaba de enviar un mensaje"

  Asunto: Internet problem year 2000

  Cuerpo o texto del mensaje (en castellano e inglés):

 

 

 

  Estimado Cliente:

 

  Rogamos actualizar y/o verificar su Sistema Operativo para el correcto funcionamiento de Internet a partir del A o 2000. Si Ud. Es usuario de Windows 95/98

  puede hacerlo mediante el Software provisto por Microsoft © llamado -Fix2001- que se encuentra adjunto en este E-Mail o bien puede ser descargado del sitio

  WEB de Microsoft ©

 

  HTTP://WWW.MICROSOFT.COM Si Ud. Es usuario de otros Sistemas Operativos, por favor, no deje de consultar con sus respectivos soportes tecnicos.

 

  Muchas Gracias.

  Administrador.

 

 

 

 

  Internet Customer:

 

  We will be glad if you verify your Operative System(s) before Year 2000 to avoid problems with our Internet Connections. If you are a Windows 95 / 98 user,

  you can check your system using the Fix2001 application that is attached to this E-mail or downloading it from Microsoft(c) WEB Site:

 

  HTTP://WWW.MICROSOFT.COM If you are using another Operative System, please don't wait until Year 2000, ask your OS Technical Support.

 

  Thanks.

  Admistrator

 

 

 

  Si éste fichero (FIX2001.EXE) se encontrase en el directorio C:\WINDOWS\SYSTEM (tras la ejecución del fichero que llega en el mensaje),

  significaría, no sólo que se ha recibido el mensaje anterior, sino que además se ejecutó el fichero y se produjo la infección.

 

  Infección

  La infección real se produce cuando el destinatario del mensaje que contiene al gusano, lo abre y ejecuta el fichero FIX2001.EXE, pensando que con

  ello podrá estar protegido contra los posibles problemas derivados del Efecto 2000. En realidad al hacerlo el gusano se copiará a sí mismo en el

  directorio C:\WINDOWS\SYSTEM y comenzará su trabajo presentando un mensaje que engaña al usuario, en el cual se indica que su conexión a

  Internet está preparada para afrontar el Efecto 2000: Your Internet Connection is already Y2K, you dont need to upgrade it.

 

 

Nombre:

                                                   W32/Fix2001

                                              Alias:

                                                   I-Worm.Fix2001, Fix2001.exe, Fix2001, W95/Backdoor.Fix2001, W32/Fix, Troj_Fix2001

                                               Tipo:

                                                   Gusano

                                   Acciones que realiza:

                                                   Se envía a sí mismo mediante el fichero FIX2001.EXE incluido en mensajes de correo electrónico, elimina el

                                                   COMMAND.COM y elimina la información del disco duro

                                            Tamaño:

                                                   12288 Bytes

                                          Reparable:

                                                   Sí, con Panda Antivirus

                                     Fecha de Aparición:

                                                   10/09/99

                                     Visto "In The Wild":

                                                   Sí

 

 

 

  Características

  W32Fix2001 es un gusano que se propaga mediante correo electrónico, pretendiendo simular que se trata de un programa que solucionará el posible

  problema del Efecto 2000. En el mensaje que envía adjunta o incluye un fichero que al ser ejecutado introducirá al gusano en el ordenador del

  destinatario. Si se ejecuta el fichero que acompaña al mensaje, FIX2001.EXE el gusano se instala en el sistema. Cuando el usuario vuelve a arrancar

  el ordenador (en el próximo inicio del sistema) W32/Fix2001 estará preparado para realizar sus envíos, sustituir el fichero COMMAND.COM por otro

  con el mismo nombre y eliminar la información del disco duro.

 

  Método de Propagación

  Cuando el usuario infectado envía un mensaje a un destinatario, W32/Fix2001 envía inmediatamente su mensaje de infección (en el que se incluye el

  fichero FIX2001.EXE) al mismo usuario, haciéndole creer que se trata de una solución frente al problema del Efecto 2000.

 

  Síntomas de la infección

  El síntoma de que el gusano ha llegado al ordenador (aunque esto no quiere decir que se haya producido la infección) es la llegada del mensaje de

  correo electrónico (en castellano o inglés) que el propio gusano envía desde otro ordenador infectado adjuntando el fichero FIX2001.EXE. Este

  mensaje tiene las siguientes características (en castellano e inglés):

 

  De: Administrador

  Para:"usuario al que el remitente acaba de enviar un mensaje"

  Asunto: Internet problem year 2000

  Cuerpo o texto del mensaje (en castellano e inglés):

 

 

 

  Estimado Cliente:

 

  Rogamos actualizar y/o verificar su Sistema Operativo para el correcto funcionamiento de Internet a partir del A o 2000. Si Ud. Es usuario de Windows 95/98

  puede hacerlo mediante el Software provisto por Microsoft © llamado -Fix2001- que se encuentra adjunto en este E-Mail o bien puede ser descargado del sitio

  WEB de Microsoft ©

 

  HTTP://WWW.MICROSOFT.COM Si Ud. Es usuario de otros Sistemas Operativos, por favor, no deje de consultar con sus respectivos soportes tecnicos.

 

  Muchas Gracias.

  Administrador.

 

 

 

 

  Internet Customer:

 

  We will be glad if you verify your Operative System(s) before Year 2000 to avoid problems with our Internet Connections. If you are a Windows 95 / 98 user,

  you can check your system using the Fix2001 application that is attached to this E-mail or downloading it from Microsoft(c) WEB Site:

 

  HTTP://WWW.MICROSOFT.COM If you are using another Operative System, please don't wait until Year 2000, ask your OS Technical Support.

 

  Thanks.

  Admistrator

 

 

 

  Si éste fichero (FIX2001.EXE) se encontrase en el directorio C:\WINDOWS\SYSTEM (tras la ejecución del fichero que llega en el mensaje),

  significaría, no sólo que se ha recibido el mensaje anterior, sino que además se ejecutó el fichero y se produjo la infección.

 

  Infección

  La infección real se produce cuando el destinatario del mensaje que contiene al gusano, lo abre y ejecuta el fichero FIX2001.EXE, pensando que con

  ello podrá estar protegido contra los posibles problemas derivados del Efecto 2000. En realidad al hacerlo el gusano se copiará a sí mismo en el

  directorio C:\WINDOWS\SYSTEM y comenzará su trabajo presentando un mensaje que engaña al usuario, en el cual se indica que su conexión a

  Internet está preparada para afrontar el Efecto 2000: Your Internet Connection is already Y2K, you dont need to upgrade it.

 

Nombre:

                                                 I-Worm.Irok

                                            Alias:

                                                 VBS/Irok.Trojan.Worm, Irok-10000, HLLP.Irok

                                             Tipo:

                                                 Gusano que se transmite por correo electrónico e IRC. Se envía a las 60 primeras direcciones de correo electrónico

                                                 que encuentra en la libreta de direcciones y a todos los usuarios conectados al usuario infectado por un canal de

                                                 IRC

                                         Infecta a:

                                                 Ficheros ejecutables

                                        Reparable:

                                                 Sí

                                   Visto "In The Wild":

                                                 No

 

 

 

  Características

  I-Worm/Irok es un gusano que se propaga por Internet de forma extremadamente rápida ya que llega al ordenador infectado mediante correo

  electrónico, o mediante IRC (por alguno de los canales de comunicación empleado para Chat). Los objetivos de sus infecciones, son los ficheros

  ejecutables que se encuentren en el sistema.

 

  Se considera peligroso ya que dejará inservibles algunos ficheros ejecutables de los que infecta. Además elimina los ficheros que emplean algunos

  programas antivirus para reconocer virus. La infección de los ficheros ejecutables se realiza mientras el virus activa un protector de pantalla.

 

  Método de Propagación

 I-Worm/Irok se propaga mediante correo electrónico y/o a través de canales de IRC (conversaciones escritas en Internet - Chat). El mensaje de

  correo electrónico que el gusano envía para propagarse, es enviado a las 60 primeras direcciones que encuentre en la libreta de direcciones.

 

  Síntomas de la infección

  Cuando se ejecuta el fichero IROK.EXE, que llega incluido en el mensaje de correo electrónico, se muestra un protector de pantalla (salvapantallas)

  que representar puntos blancos (estrellas) moviéndose por el espacio, hasta que se pulsa una tecla. Durante la presentación del salvapantallas, el

  gusano irá realizando la infección de todos los ficheros ejecutables. El gusano no infectará ficheros cuyo nombre o extensión contenga por alguno de

  los siguientes textos: DLL, SPA, MAN, DRV, SCR, KRNL, 386, MSC, COM, EXP, MOU, GW, GO, STA, USE, GDI, ó CON.

 

  I-Worm/Irok crea determinados ficheros en el disco duro que se infecta:

 

       El fichero IROK.EXE, en el directorio C:\WINDOWS\SYSTEM.

 

      El fichero WinRDE.DLL en el directorio C:\WINDOWS\SYSTEM.

 

       El fichero IROKRUN.VBS en el directorio C:\Windows\Start Menu\Programs\Start Up.

 

 

  El gusano solamente podrá activar el fichero IROKRUN.VBS en caso de que se encuentre instalado el WSH (Windows Scripting Host). Esto hace que

  solamente pueda funcionar en sistemas donde se encuentren instaladas las versiones inglesas de Windows 98 o Windows 95.

 

  Por otra parte, elimina los ficheros utilizados por algunos programas antivirus para realizar sus detecciones: ANTI-VIR.DAT, CHKLIST.MS,

  CHKLIST.CPS, VS.VSN e IVB.NTZ.

 

  El mensaje de correo electrónico que emplea para su propagación, se envía a las 60 primeras direcciones de correo electrónico que el gusano

  encuentra en la libreta de direcciones. Sus características son las siguientes:

 

       Asunto (Subject): "I thought you might like to see this.".

 

       Cuerpo del mensaje:

 

 

       "I thought you might like to see this. I got it from paramount pictures website. It´s a startrek screen saver."

 

  Infección

  Un error al producir la infección de ciertos ficheros, los puede corromper. Esto hace que algunos de ellos queden inservibles y que su recuperación

  sea imposible. Tras realizar la infección, crea una copia de sí mismo en el directorio C:\WINDOWS\SYSTEM, como un fichero llamado IROK.EXE.

  También crea el fichero WinRDE.DLL, en el directorio C:\WINDOWS\SYSTEM.

 

  A continuación, para evitar ser detectado por algún programa antivirus, borra o elimina los ficheros de firmas que algunos de ellos utilizan:

  ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, VS.VSN e IVB.NTZ.

 

  Un tercer fichero que el gusano crea, es el IROKRUN.VBS. Este se colocará en el directorio de inicio (C:\WINDOWS\START

  MENU\PROGRAMS\START UP). La utilidad del mismo es su ejecución en la siguiente ocasión en la que el sistema arranque. Es utilizado por el

  gusano para enviar el fichero IROK.EXE a las 60 primeras direcciones de correo que existan en la libreta de direcciones.

 

  I-Worm/Irok también se envía por IRC (Internet Relay Chat). Para ello comprueba la existencia del directorio C:\MIRC y modifica el fichero

  SCRIPT.INI.

 

 

 

 

 

 

 

Nombre:

                                                     Jerusalem.1808.A

                                                Alias:

                                                     Viernes 13, Israelí, Russian, 1808, 1813, BlackBox, BlackWindow, Arab Star, PLO

                                                Tipo:

                                                     Residente

                                             Infecta a:

                                                     Ficheros ejecutables (EXE y COM). También puede infectar ficheros SYS, BIN y PIF, pero no infecta el

                                                     COMMAND.COM

                                            Reparable:

                                                     Sí, con Panda Antivirus

                                               Origen:

                                                     Israel

                                             Tamaño:

                                                     1808 Bytes

                                      Fecha de Aparición:

                                                     01/10/87

                                   Condición de Aparición:

                                                     Viernes, día 13

                                       Visto "In The Wild":

                                                     Sí

 

 

 

  Características

  Jerusalem.1808.A es un virus considerado como muy peligroso ya que realiza infecciones en ficheros ejecutables, con extensiones EXE como COM y

  cuando alguno de ellos es ejecutado, el virus pasa a la memoria como residente. Desde ella realiza las infecciones de todos los ficheros que se

  ejecuten o que se copien. Después de 30 minutos desde que el virus se colocó en memoria el ordenador se ralentiza considerablemente. Como

  payloads peligroso Jerusalem.1808.A borra cualquiera de los programas que se ejecuten en el sistema. Esto último sólo ocurrirá el día 13, siempre y

  cuando sea Viernes.

 

  Método de Propagación

  Al infectar los ficheros EXE y COM estos pueden ser transmitidos por cualquier medio, realizando de éste modo la propagación del virus: disquetes,

  CD-ROM, redes de ordenadores, Internet, recepción de ficheros en los que se incluye o adjunta el fichero infectado,... etc.

 

  Síntomas de la infección

  Jerusalem.1808.A, produce varios tipos de síntomas como los siguientes:

 

        Los ficheros EXE y COM que infecta, aumentan de tamaño. Los COM aumentan en 1813 Bytes y los EXE en un valor comprendido entre

       1808 y 1822 Bytes.

 

        Cuando transcurren 30 minutos desde que el virus está en memoria, el sistema se ralentiza notablemente. Además (dependiendo de sus

       variantes), puede presentar un rectángulo blanco o negro en pantalla.

 

       El síntoma o efecto más destructivo es la posibilidad de que se borren programas. Esto sólo ocurre cuando la fecha correspondiente al reloj

       del sistema es día 13 y además viernes.

 

 

  Método de infección

  Cuando realiza la primera infección se coloca en memoria y desde ella intenta infectar todos aquellos ficheros EXE y COM que se copien o ejecuten.

 

 

Nombre:

                                                             Jumper.B

                                                        Alias:

                                                             French Boot, Neuville, EE, 2KB, Touche, Sillybob, Viresc

                                                         Tipo:

                                                             Boot y Residente

                                                     Infecta a:

                                                             Sector de arranque de disquetes y discos duros

                                                    Reparable:

                                                             Sí, con Panda Antivirus

                                               Fecha de Aparición:

                                                             Comienzos del año 1993

                                               Visto "In The Wild":

                                                             Sí

 

 

 

  Características

  Jumper.B es un virus de MS-DOS que infecta sector de arranque de los discos duros (MBR - Master Boot Record) y el de los disquetes (Boot). La

  única forma posible para que se infecte un disco duro es que el ordenador se arranque desde un disquete que ya tiene infectado su Boot, no existe

  otra posibilidad. El virus también es capaz de realizar infecciones en sistemas con Windows 95 y OS/2.

 

  Jumper.B puede producir que el ordenador infectado se bloquee, siendo necesario reiniciar el sistema y presentando determinados caracteres

  gráficos por pantalla.

 

  Método de Propagación

  El medio de propagación que emplea para producir sus infecciones en otros ordenadores son las unidades de disco (disquetes). Cuando el virus ya se

  encuentra residente en la memoria del ordenador infectado, Jumper.B infectará todos discos a los que se acceda desde ese PC.

 

  Síntomas de la infección

  En ciertas ocasiones puede producir bloqueos en el ordenador infectado que hacen necesario reiniciarlo para continuar trabajando. En el momento del

  arranque, muestra caracteres gráficos por pantalla.

 

 

 

Nombre:

                                                  Junkie.mp.1027.A

                                              Alias:

                                                  Junkie, Junkie.A, Junkie.mp.1027, Junkie-1027, Junkie Boot, Dr.White, Dr.White.1027

                                              Tipo:

                                                  Boot, Residente, Multipartite y Encriptado

                                      Grupo o Familia:

                                                  Stoned

                                           Infecta a:

                                                  Sector de arranque de discos (Boot de disquetes y Master Boot de discos duros) y ficheros COM que tengan un

                                                  tamaño superior a 5000 Bytes incluido el intérprete de comandos COMMAND.COM y en ocasiones ficheros con

                                                  extensión COW y CO_

                                          Reparable:

                                                  Sí, con Panda Antivirus

                                            Origen:

                                                  Suecia

                                           Tamaño:

                                                  1030 Bytes

                                   Fecha de Aparación:

                                                  Mayo del año 1.994 en Suecia y Agosto del año 1.994 en España, Holanda, Bélgica, Estados Unidos y Canadá

                                     Visto "In The Wild":

                                                  Sí

 

 

 

  Características

  Junkie.mp.1027.A es un virus de los considerados multipartite y encriptado, al mismo tiempo que se instala como residente en memoria e infecta el

  sector de arranque de los discos (BOOT). Se considera un virus peligroso ya que las infecciones que realiza afectan a ficheros ejecutables y a los

  sectores de arranque de los discos utilizados. Los ficheros ejecutables que infecta, éstos deben tener extensión COM y su tamaño debe ser mayor o

  igual que 5000 Bytes, añadiéndose al final de éstos, con lo cual aumenta el tamaño de los ficheros infectados. Del mismo modo realiza infecciones en

  el sector de arranque de los discos (el Boot en los disquetes y el Master Boot Record en los discos duros).

 

  Método de Propagación

  El virus Junkie.mp.1027.A puede llegara al ordenador que pretende infectar mediante cualquier a de los métodos habituales utilizados por los virus.

  Por tratarse de un virus de Boot su medio más común es el del arranque o inicio del ordenador con un disquete infectado. Inicialmente apareció

  incluido un fichero denominado HV-PSPTC.ZIP, dentro del cual se encontraba el fichero PSTATCH.COM, que es realmente el virus.

 

  Síntomas de la infección

  La infección provocada por el virus Junkie.mp.1027.A puede ser reconocida por varios motivos:

 

       Aumento del tamaño de los ficheros COM infectados en 1030 Bytes.

 

       Disminución del espacio libre disponible en la memoria.

 

 

  Método de infección

  Inicialmente Junkie.mp.1027.A realiza la infección del disco duro. Posteriormente, cuando se vuelva a arrancar o iniciar el ordenador, el virus se

  coloca como residente en memoria (ocupando una sección de los 640 primeros Kbytes de ésta) intentando desde ella infectar cualquiera de los

  ficheros ejecutables COM que se manipulen, así como los sectores de arranque de cualquiera de los discos utilizados.

 

 

Nombre:

                                                                        Major.1644.A

                                                                    Alias:

                                                                        Puppet, BBS-1644, MajorBBS

                                                                    Tipo:

                                                                        Residente y Encriptado

                                                                 Infecta a:

                                                                        Ficheros con extensiones EXE

                                                                Reparable:

                                                                        Sí, con Panda Antivirus

                                                                 Tamaño:

                                                                        1651 - 1652 Bytes

                                                                  Origen:

                                                                        Abril de 1996

                                                           Visto "In The Wild":

                                                                        Sí

 

 

 

  Características

  Major.1644.A es un virus de MS-DOS que se caracteriza por estar codificado. Cuando se ejecuta se colocar como residente en memoria. Desde ella

  infecta todos los ficheros con extensión EXE que son ejecutados. En la infección de cada uno de estos ficheros el virus se introduce al final de los

  mismos haciendo que el tamaño final aumente en 1651 ó 1652 bytes (tamaño del virus).

 

  El virus modifica los ficheros, BBSAUDIT.DAT y BBSUSR.DAT que se encontrarán en el directorio BBSV6, sólo si en cada uno de ellos encuentra

  determinados nombres.

 

  Método de propagación

  Se propagó mediante un fichero comprimido en formato ZIP, denominado CANCER01. Dicho fichero estaba disponible en la dirección de FTP

  wuarchive.wustl.edu, entre otras. No obstante, puede emplear cualquiera de los medios habituales para propagarse, tales como disquetes, CD-ROM,

  trabajo con ordenadores en red, Internet, FTP, Download, envío - recepción del fichero adjunto o incluido en un mensaje de correo electrónico,... etc.

 

  Síntomas de Infección

  Major.1644.A elige un determinado momento (fecha y hora) al azar, para abrir los ficheros BBSAUDIT.DAT y BBSUSR.DAT. Busca en ellos unos

  determinados nombres (Puppet, Image, Gnat, Minion, Cindy y F'nor) y si los encuentra modifica dichos ficheros.

 

  Método de Infección

  Major.1644.A llega al ordenador que infecta como un fichero comprimido en formato ZIP cuyo nombre es CANCER01. Al ser ejecutado pasa a

  colocarse como residente en memoria. Desde ella infecta todos aquellos ficheros con extensión EXE que se ejecuten.

 

  En una fecha y hora elegidas por él mismo de forma aleatoria, localiza los ficheros BBSAUDIT.DAT y BBSUSR.DAT, que se encontrarán en el

  directorio BBSV6 y los abre. Dentro de ellos busca los nombres Puppet, Image, Gnat, Minion, Cindy y F'nor y si los encuentra modifica dichos ficheros.

 

 

 

 

 

Nombre:

                                                 Natas.4774 o Natas.4774.Mbr

                                            Alias:

                                                 Natas, Natas.mp.4774, Satan, Satan Bug.Natas.4774

                                             Tipo:

                                                 Residente, Multipartite, Polimórfico y Stealth

                                         Infecta a:

                                                 MBR (Sector de arranque de discos duros) y Boot de disquetes. Además infecta ficheros con extensión COM, EXE, y

                                                 OVL (ficheros overlay)

                                        Reparable:

                                                 Sí, con Panda Antivirus

                                          Tamaño:

                                                 4774 Bytes

                                           Origen:

                                                 Estados Unidos

                                   Visto "In The Wild":

                                                 Sí

 

 

 

  Características

  Se trata de un virus de MS-DOS que se caracteriza por ser multipartite, polimórfico y stealth que Infecta el MBR (Master Boot Record - Sector de

  arranque) del disco duro, el BOOT de los disquetes. Además infecta ficheros con extensiones EXE y COM, así como ficheros overlay.

 

  Método de propagación

  El virus Natas.4774 (o Natas.4774.Mbr) puede emplear cualquiera de los medios habitualmente utilizados por los virus para su propagación:

  disquetes, CD-ROM, trabajo con ficheros en unidades de red, Internet, envío y recepción de mensajes de correo electrónico en los que se adjuntan o

  incluyen ficheros infectados,... etc.

 

  Síntomas de Infección

  Los ficheros son infectados cuando se accede a ellos. Dentro podemos ver el texto:

 

  BACK MODEM

  Time has come to pay (c)1994 NEVER-1

 

  Yes I know my enemies

  They're the teatchers who taught me to fight me

  Compromise, conformity, assimilation, submission

  gnorance, hypocrisy, brutality, the elite

  ll of whitch are American dreams

  (c) 1994 by Never-1(Belgium Most Hated)

  Sandrine B.

 

  Método de Infección

  El virus se activa cuando se ejecuta un fichero ya infectado. En ese momento Natas.4774 (o Natas.4774.Mbr) infecta otros ficheros (EXE, COM,

  OVL) y escribe sobre los primeros sectores del disco duro.

 

 

Nombre:

                                                     Natas.4988 ó Natas.4988.Mbr

                                                 Tipo:

                                                     Residente, Multipartite, Polimórfico y Stealth

                                             Infecta a:

                                                     MBR (Sector de arranque de discos duros) y Boot de disquetes. Además infecta ficheros con extensión COM,

                                                     EXE, y OVL (ficheros overlay)

                                             Reparable:

                                                     Sí, con Panda Antivirus

                                              Tamaño:

                                                     4988 Bytes

                                   Condición de Activación:

                                                     Al ejecutar un fichero ya infectado

                                        Visto "In The Wild":

                                                     No

 

 

 

  Características

  Se trata de un virus de MS-DOS que se caracteriza por ser multipartite, polimórfico y stealth que infecta el sector de arranque de disquetes ( Boot) y

  el de los discos duros ( MBR - Master Boot Record). Además, infecta ficheros con extensiones EXE y COM, así como ficheros overlay. Se considera

  bastante destructivo, ya que escribe encima de ciertas zonas del disco duro.

 

  Método de propagación

  El virus Natas.4988 (o Natas.4988.Mbr) puede emplear cualquiera de los medios habitualmente utilizados por los virus para su propagación:

  disquetes, CD-ROM, ordenadores conectados en red, Internet, envío y recepción de mensajes de correo electrónico en los que se adjuntan o incluyen

  ficheros infectados,... etc.

 

  Síntomas de Infección

  Cuando alguno de los ficheros ya infectados se ejecuta, el virus infecta más ficheros (aquellos que tengan extensión OVL, EXE ó COM).

 

 

 

 

 

Nombre:

                                                  One_Half.3544.A

                                             Alias:

                                                  Slovak Bomber, Free Love, Explosion-II, Dis

                                             Tipo:

                                                  Residente, Stealth, Multipartite, Encriptado y Polimórfico

                                      Grupo o familia:

                                                  One_Half

                                          Infecta a:

                                                  Ficheros con extensión COM, EXE y SYS, incluido el intérprete de comandos COMMAND.COM, además del sector de

                                                  arranque de los discos duros (Master Boot Record - MBR)

                                         Reparable:

                                                  Sí, con Panda Antivirus

                                           Tamaño:

                                                  3577 Bytes

                                            Origen:

                                                  Estados Unidos y Europa (Austria)

                                   Fecha de Aparición:

                                                  Mayo del año 1.994

                                    Visto "In The Wild":

                                                  Sí

 

 

 

  Características

  Se trata de un virus de DOS que utiliza técnicas multipatite e infecta el sector de arranque de los discos duros (Master Boot Record - MBR), así como

  todos los ficheros con extensión EXE, COM y SYS. Además emplea técnicas stealth para ocultarse. One_Half.3577 también cifra, codifica o encripta

  secciones del disco duro cada vez que se arranca el ordenador.

 

  Método de Propagación

  En primer lugar se ocupa de infectar el sector de arranque del disco duro. Tras la infección de éste, en cada inicio del sistema se coloca como

  residente en memoria y desde ella intercepta las operaciones realizadas con todos los posibles ficheros a infectar (.EXE, .COM y .SYS).

 

  En cada infección que realiza utiliza diferentes técnicas por lo que también se le considera multipartite. Además es capaz de esconderse, intentando

  pasar desapercibido para los programas antivirus. Contiene los nombres de ciertos antivirus como los siguientes: SCAN, CLEAN, FINDVIRU,

  GUARD, NOD, VSAFE y MSAV..

 

 

 

Nombre:

                                                          O97M/Tristate.C

                                                      Tipo:

                                                          Macro para Office 97 (Word, Excel y Power Point)

                                                  Infecta a:

                                                          Documentos de Microsoft Word 97 y la plantilla NORMAL.DOT

                                                 Reparable:

                                                          Sí, con Panda Antivirus

                                            Visto "In The Wild":

                                                          Sí

 

 

 

  Resumen de características

  O97M/Tristate.C es un virus de macro diseñado para infectar ficheros creados con Microsoft Office 97. Por tanto, el virus infectará documentos de

  Microsoft Word97 (ficheros con extensión DOC) y la plantilla NORMAL.DOT que éste emplea, hojas de cálculo de Excel 97 (Ficheros con extensión

  XLS) y ficheros de presentaciones Power Point (ficheros con extensión PPT).

 

  Método de Propagación

  El virus O97M/Tristate.C se propaga como la mayoría de los virus existentes. Para ello utiliza cualquiera de los ficheros que previamente ha

  infectado (documentos de Word, hojas de cálculo de Excel, o presentaciones de Power Point). Estos ficheros pueden ser localizados en otros

  ordenadores gracias a cualquiera de los siguientes medios: unidades de disco (disquetes, CD-ROM y otros tipos de unidades de almacenamiento),

  redes de ordenadores, download desde Internet, envío y recepción de mensajes de correo electrónico en los que se incluye o adjunta alguno de los

  ficheros infectados,... etc.

 

  Síntomas de la infección

  El virus inserta, en el interior de cada uno de los ficheros infectados (documentos de Word, hojas de cálculo de Excel, o presentaciones Power Point),

  el siguiente texto:

 

 

  Triplicate v0.21 /1nternal

 

  Sólo en al caso de Microsoft Word o Microsoft Excel, se desactiva la protección antivirus. De este modo, cuando se abra un fichero que contiene

  macros, no se presentará el cuadro de diálogo mediante el cual es posible que el usuario desactive (o no) dichas macros.

 

  Método de infección

  El virus realiza las infecciones de diferente forma, dependiendo del tipo de fichero a infectar:

 

       Infecciones en Microsoft Word 97. Comprueba si la plantilla ya se encuentra infectada. Si no fuese así, la infecta. Finalmente, desactiva la

       protección antivirus para las macros.

 

        Infecciones en Microsoft Excel 97. Comprueba la existencia del fichero BOOK1 en el directorio de inicio de Excel (INICIOXLS, INICIO,

       XLSSTART...). En caso de encontrarlo, O97M/Tristate.C guarda una hoja de calculo con el nombre BOOK1., en el directorio de inicio de

       Excel, realizando de este modo su infección.

 

       Infecciones en Microsoft Power Point 97. Para realizar las infecciones de Power Point, el virus procede a infectar su plantilla

 

 

Nombre:

                                                              Pixel Family

                                                         Alias:

                                                              Amstrad Family

                                                         Tipo:

                                                              Acción directa

                                                      Infecta a:

                                                              Ficheros ejecutables de MS/DOS, con extensión COM

                                                     Reparable:

                                                              Sí, con Panda Antivirus

                                                        Origen:

                                                              Grecia (Revista "Pixel magazine")

                                                       Tamaño:

                                                              345 Bytes

                                               Fecha de Aparición:

                                                              Año 1998

 

 

 

  Características

  Los virus de la familia Pixel infectan ficheros ejecutables con extensión COM, además del fichero COMMAND.COM. Tras la infección, Pixel Family

  modifica cada uno de los ficheros infectados, haciendo que su tamaño y fecha/hora varíe. Algunas versiones de Pixel Family realizan simplemente

  operaciones molestas, pero no destructivas, mientras otros como Pixel.Hydra, son más perjudiciales y dañinos.

 

  Método de propagación

 No tiene ningún medio especial de propagación utilizando cualquiera de los métodos habituales: disquetes, CD-ROM, redes, Internet, News,

  recepción de mensajes de correo electrónico en los que se incluyen ficheros infectados,...etc. No obstante, al ejecutar un fichero infectado, el virus

  infectará todos los COM del directorio o carpeta actual (en la que nos encontramos).

 

  Síntomas de Infección

  Dependiendo de la versión del virus, se presenta un mensaje que advierte al usuario sobre la infección:

 

  =!= Program sick error: Call doctor or buy Pixel for cure description

 

  Otras versiones del virus muestran un mensaje diferente, en el que se solicita una contraseña: "ENTER THE PASSWORD:". El virus espera el password

  correcto ("Kent Sent Me"). Si el introducido no es correcto presentara el mensaje "YOU HAVE ENTERED THE WRONG PASSWORD!!" y automáticamente se

  volverá a MS/DOS.

 

  Método de Infección

  La gran mayoría de virus Pixel infectan los ficheros con extensión COM del directorio o carpeta actual en la que nos encontramos. Otros realizan las

  siguientes infecciones:

 

     1.Ficheros con extensión COM del directorio actual.

 

     2.Ficheros con extensión COM del directorio C:\DOS.

 

     3.Ficheros con extensión COM del directorio raíz del disco duro (C:\)

 

 

  Para realizar la infección el virus se coloca al comienzo del fichero que infecta desplazando el contenido del mismo para abrirse hueco. Este es el

  motivo por el cual el fichero infectado aumentará su tamaño y cambiará de Fecha/Hora.

 

Nombre:

                                                                Quox.A

                                                           Alias:

                                                                Stealth 2

                                                            Tipo:

                                                                Boot y Residente

                                                        Infecta a:

                                                                Sector de arranque de disquetes y discos duros

                                                       Reparable:

                                                                Sí, con Panda Antivirus

                                                          Origen:

                                                                Tailandia

                                                  Fecha de Aparición:

                                                                Año 1992

                                                  Visto "In The Wild":

                                                                Sí

 

 

 

  Características

  Quox.A es un virus de MS-DOS que infecta el sector de arranque de los discos duros (MBR - Master Boot Record) y el de los disquetes (Boot). Sólo

  se podrá acceder al contenido de los disquetes si el virus se encuentra en memoria como residente. En caso contrario, al acceder a ellos, se

  mostrará un error que puede bloquear el ordenador.

 

  Método de Propagación

  Al situarse coloca como residente en memoria, permite el acceso a los disquetes que serán igualmente infectados. Por lo tanto, el virus llega a otros

  ordenadores mediante estos disquetes.

 

  Síntomas de la infección

  Sólo si el virus está residente en la memoria del ordenador, se podrá acceder a cualquier disquete. En caso contrario, Quox.A presenta un mensaje de

  error cuando se accede a ellos que puede bloquear el ordenador.

 

 

Nombre:

                                                              Sevilla 2

                                                         Alias:

                                                              Eco.B, Bleah.C

                                                         Tipo:

                                                              Boot, Residente, Stealth

                                                      Infecta a:

                                                              BOOT en disquetes y Master BOOT en discos duros

                                                     Reparable:

                                                              Sí, con Panda Antivirus

                                                      Tamaño:

                                                              512 Bytes

                                                        Origen:

                                                              España

                                                Visto "In The Wild":

                                                              Sí

 

 

 

  Características

  Se trata de un virus de BOOT, que infecta el sector de arranque de los disquetes (BOOT) y el de los discos duros (MASTER BOOT). Se colocará

  como residente en la memoria para, desde ella, procurar la infección de todos los discos a los que se acceda.

 

  Método de Propagación

  Por tratarse de un virus de Boot, Sevilla2 se propagará utilizando para ello los disquetes. Si estos se encuentran infectados y desde ellos se arranca

  un ordenador (aunque no sean discos de sistema), el Master Boot (sector de arranque) del disco duro será igualmente infectado. Si Sevilla2 ya

  hubiese infectado un ordenador, éste infectará todos aquellos disquetes que se utilicen en dicho ordenador.

 

  Síntomas de la infección

  El método mediante el cual se produce la infección de las unidades de disco duro existentes en un ordenador es mediante el arranque de éste desde

  un disquete infectado por Sevilla 2.

 

  Cambia de lugar el correcto y original sector de arranque (Boot o Master Boot) de los discos infectados, sustituyéndolo por uno de cosecha propia

  que se encuentra infectado. Como el Boot antiguo no se pierde, Sevilla 2 puede engañar a los analizadores de los programas antivirus.

 

Nombre:

                                                              Stoned.Angelina

                                                          Tipo:

                                                              Boot, Reseidente, Encriptado y Stealth

                                                  Grupo o Familia:

                                                              Stoned

                                                       Infecta a:

                                                              Boot de disquetes y Master Boot de discos duros

                                                      Reparable:

                                                              Sí, con Panda Antivirus

                                                       Tamaño:

                                                              512 Bytes

                                                Visto "In The Wild":

                                                              Sí

 

 

 

  Características

  El sector de arranque, tanto en disquetes (BOOT) como en discos duros (MASTER BOOT - MBR), es una sección especial de cualquier tipo de disco

  en la que se almacenan las características del disco así como los posibles programas que permiten iniciar o arrancar el ordenador desde ese disco.

  El virus Stoned.Angelina es un virus de Boot que además pertenece a la familia de virus Stoned. Por tratarse de un virus de Boot, éste infectará los

  sectores de arranque tanto de disquetes (BOOT), como de los discos duros (MASTER BOOT - MBR).

 

  Método de Propagación

  El único medio que el virus Stoned.Angelina utiliza para infectar otros ordenadores es la utilización de disquetes ya infectados. Cuando se accede a

  uno de ellos (para leer información o para escribirla) el disco duro del ordenador puede ser infectado. Los disquetes son infectados al utilizarlos en un

  ordenador infectado.

 

  Síntomas de la infección

  No presenta ningún síntoma evidente de infección que alerte al usuario, bajo ningún tipo de condición.

 

  Método de infección

  Cuando se introduce un disquete infectado en la disquetera y se arranca o inicia el ordenador desde él, el virus Stoned.Angelina infecta el Master

  Boot (MBR) o sector de arranque del disco duro. Después de haberlo infectado, el virus se coloca automáticamente en la memoria del ordenador,

  quedando residente (de forma permanente) en ella para realizar infecciones posteriores en todos los discos que se utilicen.

 

 

Nombre:

                                                                    Stoned.Standard.B

                                                                Tipo:

                                                                    Boot y Residente

                                                        Grupo o Familia:

                                                                    Stoned

                                                             Infecta a:

                                                                    Sector de arranque en disquetes y discos duros

                                                   Indice de Peligrosidad:

                                                                    Alto

                                                            Reparable:

                                                                    Sí, con Panda Antivirus

                                                   Condición de Activación:

                                                                    Al arrancar el ordenador con un disco infectado

                                                       Visto "In The Wild":

                                                                    Sí

 

 

 

  Características

  Stoned.Standard.B es un virus de la familia Stoned, que infecta el sector de arranque de disquetes (BOOT) y de discos duros (MASTER BOOT, o

  Master Boot record - MBR). Además se trata de un virus que tras realizar la infección, se coloca en memoria (residente) esperando infectar todos los

  discos que se utilicen. Si el disco es capaz de iniciar el ordenador (disco de arranque), tras la infección le será imposible hacerlo.

 

  Método de Propagación

  El modo empleado por este virus para transmitirse de un ordenador a otro, o contagiar varios ordenadores, es el manejo de disquetes entre los

  distintos PC's. Cuando el disquete infectado es de arranque (permite iniciar el ordenador) y es utilizado para este fin, se infectará al ordenador

  destino haciendo que Stoned.Standard.B infecte su disco duro. Para proteger los disquetes contra escritura, se debe abrir la pestaña que se

  encuentra en ellos (en la parte inferior).

 

  Síntomas de la infección

  En ocasiones, el virus muestra el mensaje "Your PC is now stoned!" al arrancar pudiendo causar daños en los directorios de forma indirecta.

 

 

NOMBRE:

                                                  Tequila.mp.2468.A

                                             ALIAS:

                                                  Tequila.A, Stealth

                                             TIPO:

                                                  Multipartite y Residente

                                           ORIGEN:

                                                  Suiza

                                          INFECTA A:

                                                  Sector de arranque del disco duro (MBR - Master Boot Record) y ficheros ejecutables con extensión EXE

                                           TAMAÑO:

                                                  2468 Bytes

                                         REPARABLE:

                                                  Sí, con Panda Antivirus

                                     Visto "In The Wild":

                                                  Sí

 

 

 

  Características

  Tequila.mp.2468.A es un virus de DOS, multipartite que realiza sus infecciones en ficheros ejecutables (programas) con extensiones EXE. Del

  mismo modo, también infecta el sector de arranque de los discos duros (MBR - Master Boot Record). Además se considera un virus residente ya que

  se coloca en memoria, esperando la ejecución de algún fichero EXE.

 

  Como acción que realiza, el virus muestra dos mensajes de texto por pantalla y además realiza una presentación gráfica de un fractal (representación

  de un número complejo), mediante caracteres ASCII.

 

  Síntomas de infección

  El payload de este virus se activa según el estado de un contador interno. Al activarse, muestra una fractal (simulación gráfica de un número

  complejo) de Mandelbrot a color con caracteres ASCII.

 

 

NOMBRE:

                                                 TPVO.mp.3783.A

                                            ALIAS:

                                                 DS.3783

                                            TIPO:

                                                 Multipartite y Residente

                                          ORIGEN:

                                                 Taiwan

                                        INFECTA A:

                                                 Ficheros de MS-DOS con extensiones EXE y COM, ficheros de Windows con extensiones EXE, así como los sectores

                                                 de arranque de disquetes (BOOT) y de discos duros

                                          TAMAÑO:

                                                 3783 Bytes

                                        REPARABLE:

                                                 Sí, con Panda Antivirus

                                   Visto "In The Wild":

                                                 Sí

 

 

 

  Características

  TPVO.mp.3783.A es un virus multipartite que infecta ficheros ejecutables (programas) con extensiones EXE y COM de MS-DOS y ficheros con

  extensión EXE de Windows. Del mismo modo, también infecta el sector de arranque de los disquetes (BOOT) y el sector de arranque de los discos

  duros (MBR - Master Boot Record). El tamaño de los ficheros infectados aumenta en 3783 Bytes (tamaño del virus).

 

  No se le conocen otro tipo de efectos secundarios que realice bajo determinadas condiciones. Tras haberse producido la infección TPVO.mp.3783.A

  pasará a la memoria como residente, siempre que se ejecute alguno de los ficheros infectados o siempre que se intente arrancar el ordenador desde

  un disco (disquete o disco duro) cuyo sector de arranque estuviera previamente infectado.

 

  Síntomas de infección

  Aunque TVPO.MP.3783.A no realizar ninguna actividad, tras realizarse la infección, que pueda ser considerada como un payload, sí es cierto que al

  infectar un fichero, hace que el tamaño de éste aumente en 3783 Bytes. Del mismo modo, la cantidad de memoria disponible después de que éste

  quede residente, disminuye en 4 Kbytes (3783 Bytes) aproximadamente.

 

  Método de Propagación

  El virus tpvo.MP.3783.a puede utilizar cualquiera de las técnicas habitualmente empleadas por los virus, para asegurar propagarse tanto dentro del

  propio sistema, como hacia el exterior: disquetes, CD-ROMs, trabajo en redes de ordenadores, Internet, envío y recepción de mensajes de correo

  electrónico en los que se adjunta o incluyen ficheros ya infectados.

 

  Método de infección

  Cuando TPVO.mp.3783.A infecta un fichero y éste se ejecuta, será el virus el que actúe en primer lugar (antes que el fichero). Dicho fichero se

  incrementa en 3783 bytes tras la infección, que es el tamaño que ocupa el propio virus.

 

  Cuando se ejecuta un fichero infectado o se intenta arrancar el ordenador desde un disco que tiene su sector de arranque infectado por el virus, éste

  se coloca como residente en memoria y desde ella procura infectar todos los archivos (EXE y COM de MS-DOS, así como EXE de Windows) con los

  que se trabaje, así como el sector de arranque de los discos a los que tenga acceso.

 

 

Nombre:

                                                    Trivial.88.B

                                                Alias:

                                                    Minimal.88.B, Trivial.88, Kalip-88, Trivial.Kalipornia.88, Kalipor.ow.88, Silly.OC.Kalipo.88

                                                Tipo:

                                                    Sobreescritura. Acción directa

                                        Grupo o Familia:

                                                    Trivial

                                             Infecta a:

                                                    Ficheros ejecutables con extensión COM

                                            Reparable:

                                                    Sí, con Panda Antivirus

                                             Tamaño:

                                                    88 Bytes

                                       Visto "In The Wild":

                                                    No

 

 

 

  Características

  Trivial.88.B es un virus de acción directa que infecta ficheros ejecutables (programas) con extensión COM. Entre estos ficheros COM que infecta, se

  encuentra también el intérprete de comandos COMMAND.COM. Cada uno de los ficheros infectados es sobreescrito, de tal forma que posteriormente

  estará inservible, siendo necesaria su eliminación, para que desaparezca el virus.

 

  Salvo la sobreescritura de los ficheros COM y posteriores infecciones al ejecutarlos, no realiza ninguna acción paralela.

 

  Método de Propagación

  Para extenderse utiliza cualquiera de los medios habituales empleados por los virus: disquetes, CD-ROM, redes, bajar ficheros desde Internet

  (download), recepción de mensajes de correo en los que se adjuntan o incluyen ficheros infectados, ... etc.

 

  Síntomas de la infección

  Como único síntoma de infección, puede observarse la imposibilidad de ejecutar algunos ficheros COM debido a que el virus se encargará de

  sobreescribirlos. Trivial.88.B incluye su propio código dentro del código del fichero al que infecta haciendo que la información almacenada en esa

 sección se pierda.

 

  Método de infección

  Los ficheros COM que Trivial.88.B infecta quedan inservibles, teniendo que borrarlos para que desaparezca la infección.

 

 

Nombre:

                                                                    Trojan.APS

                                                                Alias:

                                                                    Trojan.APS.216576, Troj_APS.216576

                                                               Grupo:

                                                                    APS

                                                                Tipo:

                                                                    Troyano

                                                            Reparable:

                                                                    Sí

                                                             Tamaño:

                                                                    216576 Bytes

                                                      Fecha de Aparición:

                                                                    Enero de 2000

 

 

 

  Características

  Se trata de un troyano que permite obtener los datos correspondientes a las cuentas de los clientes de AOL (America On Line). Aparece en el

  ordenador como un archivo, con el nombre de MINE.EXE, incluido en un mensaje de correo electrónico.

 

  El troyano realiza copias de sí mismo mediante ficheros que esconde en la raíz del disco duro (C:\) y en el directorio de Windows. También modifica el

  fichero WIN.INI y el Registro de Windows para asegurar su ejecución siempre que se ponga en marcha (encienda) el ordenador infectado.

 

  Método de Propagación

  No infecta otros ficheros que se encuentren en el ordenador. Su aparición se debe a la llegada de un fichero denominado MINE.EXE, incluido en un

  mensaje de correo electrónico. Cuando éste es ejecutado, el troyano se activa, se instala y posteriormente realiza ciertas operaciones en el sistema.

 

  Funcionamiento del troyano

  El síntoma más evidente de que el virus ha logrado colarse en el sistema (no de que se haya producido la infección) es la llegada de un mensaje de

  correo electrónico en el que se adjunta el fichero MINE.EXE. El asunto o subject de este mensaje es "hey you" y el icono que representa al fichero

  adjunto, tiene el aspecto que se muestra tras esta línea.

 

 

 

  Método de Infección

  Crea los siguientes ficheros:

 

  MSDOS98.EXE (en el directorio raíz del disco duro, C:\)

  UNINSTALLMS.EXE, en el directorio de Windows.

  MINE.EXE, en el directorio SYSTEM que cuelga de Windows.

  README.TXT, en el directorio SYSTEM que cuelga de Windows.

 

  También realiza modificaciones en el Registro de Windows y en el fichero WIN.INI.

 

 

Nombre:

                                                            Trojan/IconDance

                                                       Alias:

                                                            Trojan/Win32.IconDance

                                                       Tipo:

                                                            Troyano

                                            Acciones que realiza:

                                                            Movimiento de los iconos que se encuentren en el Escritorio de Windows

                                                   Reparable:

                                                            Sí, con Panda Antivirus

                                                     Tamaño:

                                                            308224 Bytes

                                          Condición de Activación:

                                                            Al ejecutar el fichero ZAF_DANSE.EXE

                                              Visto "In The Wild":

                                                            No

 

 

 

  Características

  Trojan/IconDance es un troyano que funciona en ordenadores que tengan instalado Windows 9.x ó Windows NT. Cuando el troyano se activa, minimiza

  todas las ventanas que se tengan abiertas y desordena los iconos que se encuentran en el Escritorio de Windows. Todos ellos formará una fila que se

  irá desplazando por la pantalla. Después de esto, cada uno de ellos seguirá el movimiento que se realice con el puntero del ratón.

 

  Método de Propagación

  El troyano llega al ordenador como un fichero denominado ZAF_DANSE.EXE. Dicho fichero tiene un tamaño de 308224 bytes y al ser ejecutado

  desordenará los iconos del Escritorio.

 

 

 

  Síntomas de Infección

  Al ejecutar el fichero ZAF_DANSE.EXE, se minimizan todas las ventanas que se tengan abiertas en ese instante, colocándonos en el Escritorio de

  Windows. Entonces cada uno de los iconos que aparecen en él se unirán formando una fila y comenzarán a describir movimientos, por toda la pantalla,

  tal y como se puede apreciar en la siguiente imagen.

 

 

Nombre:

                                                 Anti-CNTE Boot

                                            Alias:

                                                 Kampana.A, Telecom.3700, Anti-telefónica, Anti-tel, Telecom Boot, Telecom PT1, Telefónica, Telephonica, Holo,

                                                 Holokausto, Campana, Spanish Trojan, Kampana Boot, Drug

                                             Tipo:

                                                 Boot, Residente, Encriptado y Stealth

                                         Infecta a:

                                                 Sector de arranque de disquetes y discos duros así como la tabla de particiones

                                          Tamaño:

                                                 512 Bytes

                                        Reparable:

                                                 Sí, con Panda Antivirus

                                           Origen:

                                                 España

                                   Visto "In The Wild":

                                                 Sí

 

 

 

  Características

  Anti-CNTE Boot es un virus de MS-DOS que infecta sector de arranque de los discos duros (MBR - Master Boot Record) y el de los disquetes (Boot),

  además de la Tabla de Particiones. La única forma posible para que se infecte un disco duro es que el ordenador se arranque desde un disquete que

  ya tiene infectado su Boot, no existe otra posibilidad.

 

  Realiza varias operaciones como cambios en el Boot del ordenador y disminución de la velocidad de trabajo en el ordenador infectado. Tras

  producirse la infección y haber arrancado 300 veces el sistema infectado, el virus muestra un mensaje por pantalla: "VIRUS ANTITELEFONICA

  (BARCELONA)" y escribe en el disco haciendo que la información no se pueda recuperar.

 

  Método de Propagación

  Por tratarse de un virus de Boot, el medio de propagación que emplea para producir sus infecciones en otros ordenadores son las unidades de disco

  (disquetes). La única forma posible para infectar un ordenador es arrancarlo desde un disquete que previamente contenga e virus. A posteriori,

  cuando el virus ya se encuentra residente en la memoria del ordenador infectado, Anti-CNTE Boot infectará todos discos a los que se acceda desde

  ese PC.

 

  Síntomas de la infección

  Tras 300 arranques, después de haberse producido la infección, el virus muestra el mensaje "VIRUS ANTITELEFONICA (BARCELONA)" en pantalla y

  sobreescribe parte de la información contenida en el disco duro, haciéndose imposible su recuperación.

 

 

 

  Comentarios adicionales

  Es un virus originario de España y forma parte del virus Telecom.3700, también denominado Anti-telefónica, por lo que en ocasiones se le denomina

  del mismo modo.

 

 

Nombre:

                                                   Backdoor/Doly.17

                                               Tipo:

                                                   Troyano de tipo Backdoor que permite acceder, de forma remota, al ordenador "infectado" o atacado

                                   Acciones que realiza:

                                                   Apertura del puerto 1016 TCP, reiniciar Windows, realizar capturas de pantalla, abrir una sesión de chat con el

                                                   ordenador atacado, desconectarlo de Internet, conocer las pulsaciones de teclas realizadas por el usuario

                                                   atacado, obtener información confidencial, formatear el disco duro, desactivación del doble click del ratón,

                                                   alteración de las funciones de cada uno de los botones del ratón, apertura y cierre de la bandeja del CD-ROM,

                                                   ocultar la barra de tareas, modificar la resolución, ejecutar programas de forma oculta, desactivar las

                                                   posibilidades de Buscar y Ejecutar, ocultar los iconos del Escritorio, movimiento aleatorio del puntero del

                                                   ratón,... etc.

                                          Reparable:

                                                   Sí

                                     Visto "In The Wild":

                                                   No

 

 

 

  Características

  Backdoor/Doly.17 es un troyano que permite realizar operaciones en el ordenador "infectado" desde otro ordenador que lo controla. Consta de dos

  elementos. El programa servidor (llega por algún medio, se instala automáticamente y se ejecuta en el ordenador atacado) y el programa cliente

  (instalado en el ordenador desde el que se pretende atacar). El servidor se encarga de abrir una posible conexión con el cliente. Este último realiza

  peticiones de servicios (operaciones a realizar) al programa servidor.

 

  Desde el programa cliente, el supuesto hacker que lo maneja puede realizar las siguientes operaciones: reiniciar Windows, realizar capturas de

  pantalla, abrir una sesión de chat con el ordenador atacado, desconectarlo de Internet, conocer las pulsaciones de teclas realizadas por el usuario

  atacado, obtener información confidencial, formatear el disco duro, desactivación del doble click del ratón, alteración de las funciones de cada uno de

  los botones del ratón, apertura y cierre de la bandeja del CD-ROM, ocultar la barra de tareas, modificar la resolución, ejecutar programas de forma

  oculta, desactivar las posibilidades de Buscar y Ejecutar, ocultar los iconos del Escritorio, movimiento aleatorio del puntero del ratón,...etc.).

 

  Método de Propagación

  Este troyano se puede propagar mediante cualquiera de los métodos habituales que utilizan los virus para su infección: disquetes, CD-ROM,

  mensajes de correo electrónico en los que se incluyen o adjuntan ficheros,... etc.

 

  Síntomas de Infección

  La persona que se encargue de realizar del ataque deberá manejar el programa cliente desde su ordenador. Este muestra una pantalla principal con el

  siguiente aspecto. Desde ella se realizan todas las posibles operaciones.

 

 

 

  Las funciones que se pueden realizar en el ordenador atacado, están organizadas por secciones comunes. Algunas de ellas son las siguientes:

  reiniciar Windows, obtener capturas de pantalla del ordenador atacado, abrir un canal de Chat con la víctima, desconectar de Internet al ordenador

  atacado, conocer las pulsaciones de teclas realizadas por el usuario atacado, obtener información sobre el usuario, formatear el disco duro de la

  víctima, desactivar el doble click del ratón y alterar las funciones en cada uno de sus botones, presentar mensajes de error por pantalla,

  apertura/cierre de la bandeja del CD-ROM, ocultar la barra de tareas, cambiar los colores de las barras de títulos, abrir el navegador de Internet en

  una dirección URL determinada, ver las ultimas direcciones URL visitadas por el usuario atacado, cambiar la resolución de la pantalla, ejecutar

  programas, desactivar las opciones Buscar y Ejecutar (del menú Inicio de Windows), ocultar los iconos del Escritorio de Windows, hacer que el

  puntero del ratón se mueva aleatoriamente sin el control del usuario, mostrar, borrar y modificar el Clipboard del cliente, envío y presentación (en el

  ordenador atacado) de cuadros de mensaje, manipulación de ficheros,... etc.

 

  Método de Infección

  El programa servidor, llega al ordenador atacado y se instala en él. Al ser ejecutado, realiza modificaciones en el Registro de Windows y en el fichero

  AUTOEXEC.BAT, además de crear varios ficheros.

 

 

Nombre:

                                                   Backdoor/Spyking_20

                                              Alias:

                                                   Backdoor/Spying King_2.0

                                               Tipo:

                                                   Troyano de tipo BackDoor que permite el control remoto de ordenadores

                                   Acciones que realiza:

                                                   Operaciones con los ficheros que se encuentran en el: ordenador víctima de la infección: copiar, cortar, pegar,

                                                   abrir, descargar a/desde nuestro disco, cambiar los atributos, ejecutar, buscar y borrar ficheros; modificación

                                                   de los atributos correspondientes a los directorios; abrir una sesión de Chat con el ordenador víctima; abrir y

                                                   cerrar la bandeja del CD-ROM; utilizar la impresora conectada del ordenador infectado de forma remota;

                                                   activación y desactivación de teclas de "Num Lock", "Caps Lock" y las combinaciones de teclas "CTRL+ALT+DEL"

                                                   y "ALT+TAB"; movimientos del puntero del ratón y demás funciones típicas de este tipo de troyanos,...etc.

                                          Reparable:

                                                   Sí

                                     Visto "In The Wild":

                                                   No

 

 

 

  Características

 Backdoor/SpyKing_20 es la versión 2.0 del troyano ya existente, denominado Spying King, el cual se caracteriza por ser un programa de control que

  permite el acceso a otros ordenadores conectados a Internet, siempre que se conozca la dirección IP (Internet Protocol) de éstos.

 

  El troyano está incluido en un paquete de software junto con otros programas útiles. Cada uno de los programas que lo acompañan, permiten

  configurarlo y manejarlo. Como todos los troyanos del tipo Backdoor, está dividido en dos partes:

 

       El programa cliente.

 

       El programa servidor (en el ordenador víctima de la infección).

 

 

  El troyano adjunta un fichero denominado CONFIG.EXE, que permite crear el programa servidor para una configuración concreta. Este programa

 servidor será enviado automáticamente a otro ordenador que se pretende controlar. El programa servidor se encarga de permanecer residente cuando

  llega al ordenador víctima de la infección o del ataque, y desde él estar atento a las posibles peticiones que el cliente le solicite (mediante un puerto

  de comunicaciones).

 

  Entre las funciones que realiza este troyano se pueden destacar las siguientes:

 

       Operaciones sobre los ficheros existentes en el ordenador al que se accede: copiar, mover, borrar, abrir, modificar atributos, ejecutar,... etc.

 

       Abrir una sesión de Chat (charla escrita a través de Internet) con él ordenador víctima.

 

       Aperturas y cierres continuos en la del CD-ROM.

 

       Utilizar la impresora del ordenador afectado por el troyano, desde otro ordenador remoto.

 

       Activación y desactivación de las teclas "Num Lock", "Caps Lock" y combinaciones de teclas "CTRL+ALT+DEL" y "ALT+TAB", además de

       movimientos del ratón y otros tipos de funciones típicas de este tipo de troyanos.

 

 

  Método de Propagación

  Backdoor/Spyking_20 puede realizar la infección mediante cualquiera de los medios habituales empleados por los virus: disquete, CD-ROM, redes,

  Internet, envío y recepción de correo electrónico en el que se adjuntan o incluyen ficheros,... etc.

 

  Síntomas de Infección

  Entre las acciones que el troyano permite realizar, mediante sus accesos remotos a los ordenadores que infecta, se pueden presentar las siguientes:

 

        Copiar, cortar, pegar, abrir, descargar a/desde nuestro disco, cambiar los atributos, ejecutar, buscar y borrar cada uno de los ficheros

       existentes en el ordenador infectado. Esto se realiza desde otro ordenador de forma remota, a través de una conexión a Internet.

 

       Modificar los atributos correspondientes a los directorios que existen en el ordenador infectado.

 

       Capturas de pantalla (pantallazos) del ordenador víctima del troyano.

 

       Apertura de sesiones (no simultáneas) de Chat (canales de comunicaciones en Internet con otros usuarios para conversar de forma escrita)

       con el ordenador víctima.

 

       Apertura y cierre de la bandeja del CD-ROM.

 

         Se puede utilizar la impresora conectada al ordenador infectado para imprimir ficheros en ella, de forma remota.

 

       Otras funciones que el troyano puede realizar no tienen tanto peligro como alguna de las anteriores pero sí pueden ser ciertamente molestas:

       activación y desactivación de teclas de "Num Lock", "Caps Lock" y las combinaciones de teclas "CTRL+ALT+DEL" y "ALT+TAB";

       movimientos del puntero del ratón y demás funciones típicas de este tipo de troyanos.

 

 

  Funcionamiento de la Infección

  Hace posible el acceso remoto a otros ordenadores conectados a Internet, siempre que se conozca la dirección IP de éstos. Como todos los

  troyanos de tipo Backdoor esta dividido en dos partes: programa cliente y programa servidor. Se adjunta el programa CONFIG.EXE que permite

  realizar configuraciones en el funcionamiento del troyano. No obstante, Backdoor/SpyKing20 hace necesaria la existencia de los ficheros siguientes

  para su correcto funcionamiento: MSVBVM50.DLL y el MSWINSCK.OCX.

 

  El fichero correspondiente al programa servidor lleva el nombre RENAME.EXE siendo el fichero que se enviará al ordenador víctima de la infección. El

  programa cliente, es un fichero denominado SPYINGKING.EXE. Mediante la ejecución de éste en un ordenador cualquiera, es posible manipular o

  realizar operaciones en el ordenador infectado.

 

 

Nombre:

                                                              Bleah

                                                         Alias:

                                                              Bleah.C

                                                         Tipo:

                                                              Boot, Residente, Stealth

                                                      Infecta a:

                                                              BOOT en disquetes y Master BOOT en discos duros

                                                     Reparable:

                                                              Sí, con Panda Antivirus

                                                      Tamaño:

                                                              512 Bytes

                                                        Origen:

                                                              España

                                                Visto "In The Wild":

                                                              Sí

 

 

 

  Características

  Se trata de un virus de BOOT, que infecta el sector de arranque de los disquetes (BOOT) y el de los discos duros (MASTER BOOT). Se colocará

  como residente en la memoria para, desde ella, procurar la infección de todos los discos a los que se acceda.

 

  Método de Propagación

  Por tratarse de un virus de Boot, Beah se propagará utilizando para ello los disquetes. Si estos se encuentran infectados y desde ellos se arranca un

  ordenador (aunque no sean discos de sistema), el Master Boot (sector de arranque) del disco duro será igualmente infectado. Si Beah ya hubiese

  infectado un ordenador, éste infectará todos aquellos disquetes que se utilicen en dicho ordenador.

 

  Síntomas de la infección

  El método mediante el cual se produce la infección de las unidades de disco duro existentes en un ordenador es mediante el arranque de éste desde

  un disquete infectado por Beah.

 

  Cambia de lugar el correcto y original sector de arranque (Boot o Master Boot) de los discos infectados, sustituyéndolo por uno de cosecha propia

  que se encuentra infectado. Como el Boot antiguo no se pierde, Beah puede engañar a los analizadores de los programas antivirus.

Nombre:

                                                     Burglar.1150.A

                                                Alias:

                                                     Grangrave

                                                 Tipo:

                                                     Residente y Stealth

                                             Infecta a:

                                                     Ficheros ejecutables con extensión EXE

                                             Reparable:

                                                     Sí, con Panda Antivirus

                                              Tamaño:

                                                     1150 Bytes

                                               Origen:

                                                     Korea

                                   Condición de Activación:

                                                     Si los minutos correspondientes a la fecha del fichero que infecta tienen el valor 14, muestra un mensaje por

                                                     pantalla

                                        Visto "In The Wild":

                                                     Sí

 

 

 

  Características

  Burglar.1150.A es un virus de MS-DOS que se caracteriza por ser residente en memoria (una activo, se mantiene en memoria y desde ella realiza

  todas las operaciones pertinentes) y utilizar técnicas stealth para ocultarse a los ojos del usuario. Los objetivos de sus infecciones son los ficheros

  ejecutables con extensión EXE. Dichas infecciones no tienen lugar en ficheros de Windows con extensión EXE, ni tampoco sobre los ficheros en cuyo

  nombre aparece la letra "V" o la letra "S".

 

  No tiene ningún efecto destructivo ya que simplemente presenta un mensaje por pantalla, cuando la fecha/hora correspondiente al fichero que se

  ejecuta tiene el valor 14 en la sección correspondiente a los minutos.

 

  Método de Propagación

  Para extenderse utiliza los medios habituales empleados por los virus: disquetes, CD-ROM, redes de ordenadores, Internet, envío y recepción de

  mensajes de correo electrónico en los que se incluyen o adjuntan ficheros ya infectados,... etc.

 

  Síntomas de infección

  Cuando se ejecuta un fichero EXE y los minutos correspondientes a la fecha/hora de éste tienen el valor de 14, el virus Burglar.1150.A se encarga de

  mostrar un mensaje por pantalla, como el siguiente:

 

  "Burglar /H"

 

 

Nombre:

                                                                    CST.Boot

                                                                Alias:

                                                                    Bleah.F

                                                                Tipo:

                                                                    Boot y Resident

                                                        Grupo o Familia:

                                                                    Bleah

                                                             Infecta a:

                                                                    Sectro de arranque de disquetes y disco duro

                                                            Reparable:

                                                                    Sí, con Panda Antivirus

                                                               Origer:

                                                                    España

                                                   Indice de peligrosidad:

                                                                    Bajo

                                                       Visto "In The Wild":

                                                                    No

 

 

 

  Características

  Se trata de un virus perteneciente a la familia Bleah. Su característica principal es ser un virus de Boot (infecta el sector de arranque de

  disquetes y discos duros) y Residente (se coloca en memoria y permanece en ella), que no produce efectos secundarios

  destructivos. La única forma de que el disco duro se infecte con el virus CST.Boot es arrancar (encender) el ordenador con

  un disquete (en la disquetera), ya infectado por el virus.

 

  Método de Propagación

  El único medio de transporte que utiliza este virus para llegar a un ordenador e infectar su disco duro, son los disquetes.

 

  Síntomas de la infección

  Al mismo tiempo que no produce ningún efecto destructivo, no realiza ningún tipo de actividad que permita descubrir la

  infección.

 

  Método de infección

  La infección sólo puede producirse cuando se intenta arrancar o iniciar el ordenador con un disquete de arranque o de inicio

  que ya se encuentre infectado por el virus, no existe otra posibilidad. Una vez esto haya ocurrido, CST.Boot se encarga de

  colocarse en la memoria de forma permanente (residente), esperando infectar otros discos que se utilicen.

 

  Emplea técnicas por las cuales es difícil su detección, aunque se puede desinfectar arrancando o iniciando el ordenador con

  un disquete de arranque que se encuentre limpio en la disquetera. Posteriormente habrá que utilizar un programa antivirus.

 

 

Nombre:

                                                       Delwin.1759

                                                   Alias:

                                                       Goblin.1759, Windel.1759, Windel

                                                   Tipo:

                                                       Residente, Multipartite y Encriptado

                                                Infecta a:

                                                       Ficheros con extensión EXE y MBR (Master Boot Record - Sector de arranque) de discos duros

                                               Reparable:

                                                       Sí, con Panda Antivirus

                                      Condición de activación:

                                                       Al ejecutar el fichero WIN.COM

                                                Tamaño:

                                                       1759 Bytes

                                                 Origen:

                                                       Alemania

                                         Fecha de Aparición:

                                                       Mediados del año 1995

                                          Visto "In The Wild":

                                                       Sí

 

 

 

  Características

  El Delwin.1759 es un virus multipartite capaz de infectar el MBR (Master Boot Record - Sector de arranque) de los discos duros y al mismo tiempo

  infectar también los ficheros ejecutables con extensión EXE que sean ejecutados.

 

  Se activa cuando se ejecuta el programa WIN.COM (Windows). En ese momento obtiene el número de versión de MS-DOS para hacer que siempre se

  indique que ésta es la versión 2.10, con lo que la mayoría de los programas que funcionan bajo Windows no podrán ser ejecutados.

 

  Método de propagación

  Para extenderse a cualquier otro ordenador, el virus puede emplear cualquiera de las técnicas utilizadas habitualmente por los virus: disquetes,

  CD-ROM, Internet, trabajo con ficheros en redes de ordenadores, Internet, envío de ficheros infectados como archivos adjuntos o incluidos en

  mensajes de correo electrónico,... etc.

 

  Síntomas de Infección

  Después de ejecutar el fichero WIN.COM (Windows), siempre muestra que la versión de MS-DOS que se encuentra instalada es la 2.01, aunque esto

  no sea así.

 

  Aumenta el tamaño de cualquier fichero infectado, en 1759 Bytes y modifica la fecha correspondiente a cada uno de ellos, para que los segundos

  marquen 02. Con la última acción consigue que los ficheros ya infectados no se vuelvan a infectar.

 

  Método de Infección

  Se activa cuando se ejecuta el fichero WIN.COM. Desde ese momento siempre indicará que la versión de MS-DOS que se encuentra instalada es la

  2.01, aunque no sea cierto.

 

  Está encriptado (cifrado o codificado) mediante una resta con mascara de byte. Realizar determinadas acciones para asegurar su infección y producir

  los efectos deseados:

 

       Comprueba si ya se encuentra residente en memoria.

 

       Infectar el MBR del disco duro y copia el MBR original en otro lugar del mismo disco.

 

       Copia su código vírico en determinadas secciones del disco infectado.

 

       Copia el nuevo MBR (el suyo propio) en el lugar donde está el MBR original.

 

       Infectar los ficheros con extensión EXE que sean ejecutados. Se copia al final de cada uno de ellos, aumentando el tamaño en 1759 bytes

       (tamaño del virus).

 

       Para no volver a infectar ficheros que ya lo están, modifica la Fecha/Hora de cada uno de ellos, haciendo que los segundos pasen a marcar

       02.

 

 

Nombre:

                                                             Empire.Monkey.A

                                                        Alias:

                                                             Monkey.A, Stoned.Empire.Monkey.A, Stoned.Monkey.A

                                                        Tipo:

                                                             Boot, Residente y Stealth

                                                     Infecta a:

                                                             Sector de arranque de disquetes y discos duros

                                                    Reparable:

                                                             Sí, con Panda Antivirus

                                              Fecha de Aparición:

                                                             01/10/92

                                               Visto "In The Wild":

                                                             Sí

 

 

 

  Características

  Se trata de un virus de Boot que infecta el sector arranque tanto de discos duros (Master Boot Record - MBR) como en el de los disquetes (Boot). Se

  le considera muy destructivo ya que impedirá el acceso a la información que contenía en el disco antes de la infección. Empire.Monkey.A emplea

  técnicas de ocultamiento, encargándose de sustituir el correcto sector de arranque por el propio el infectado.

 

  Método de Propagación

  Por tratarse de un virus de Boot, el medio que éste emplea para realizar posteriores infecciones en otros sistemas, es el disquete. Cuando un

  disquete infectado se utiliza en un ordenador, éste infectará el Master Boot Record del disco duro. El disco duro de un ordenador sólo será infectado

  cuando se intente iniciar el sistema desde un disquete previamente infectado por el virus Empire.Monkey.A.

 

  Síntomas de la infección

  La próxima vez que se intente arrancar el sistema, será imposible el acceso al disco duro ya que el virus ha eliminado la Tabla de Particiones en él

  contenida.

 

  Método de infección

  Empire.Monkey.A se encarga de modificar la Tabla de Particiones para que el ordenador será incapaz de arrancar desde ese disco duro

 

  Sustituye el sector de arranque de los discos duros y el de los disquetes infectados por uno propio del virus, de tal forma que el original pasa a

  colocarse en otra sección del propio disco.

 

  Desde su posición de residente en memoria se encarga de interceptar todos los accesos a disco que se producen. Esta actividad tiene como finalidad

  la infección de cualquiera de los discos a los que se acceda desde el sistema infectado.

 

 

 

 

Nombre:

                                                     Flip.mp.2153.A

                                                Alias:

                                                     Omicron, Flip

                                                 Tipo:

                                                     Residente y Encriptado

                                             Infecta a:

                                                     Ficheros con extensión EXE, COM y OVL (overlays), Boot de los disquetes y MBR de los discos duros, además

                                                     del fichero COMMAND.COM

                                              Tamaño:

                                                     2153 Bytes

                                             Reparable:

                                                     Sí, con Panda Antivirus

                                      Fecha de Activación:

                                                     Día 2 de cada mes

                                   Condición de Activación:

                                                     Entre las 16:00 y las 16:49 horas

                                               Origen:

                                                     Alemania, Suiza

                                       Fecha de Aparición:

                                                     Año 1990

                                        Visto "In The Wild":

                                                     No

 

 

 

  Características

  Flip.mp.2153.A es un virus de MS-DOS que además es residente en memoria y encriptado(codificado o cifrado). Infecta ficheros que tengan

  cualquiera de las siguientes extensiones: EXE, COM o OVL. Además también infecta el fichero COMMAND.COM (que está en la raíz del disco duro)

  y modifica el MBR (Master Boot Record o Sector de arranque del disco duro) y el BOOT (sector de arranque de los disquetes).

 

  El virus realiza dos efectos si es día 2 de cualquier mes y la hora del sistema se encuentra entre las 16:00 y las 16:59 horas:

 

       El monitor flipeará horizontalmente durante toda esa hora.

 

       Destruye la información contenida en las particiones (divisiones) del disco duro que sean superiores a 32 Mbytes.

 

 

  Método de propagación

  Flip.mp.2153.A puede llegar por cualquiera de los medios habituales empleados por los virus: disquetes, CD-ROM, ordenadores conectados en red,

  Internet, recepción de mensajes de correo electrónico en los que se adjunta o incluye algún fichero previamente infectado,... etc..

 

  Síntomas de Infección

  Flip.mp.2153.A se activa el día 2 de cada mes entre las 16:00 y las 16:59 horas. Durante este periodo de tiempo y si el ordenador tiene un

  adaptador de vídeo EGA o VGA, el monitor flipeará horizontalmente. Además, si el ordenador infectado tiene particiones del disco duro con una

  capacidad superior a 32 Mbytes, Flip.mp.2153.A las destruirá, haciendo que ocupen 32 Mbytes y por tanto se pierda la mayor parte de la información

  contenida en cada una de ellas.

 

  Método de Infección

  Se encuentra cifrado o codificado y se copia al final de los ficheros que infecta haciendo que su tamaño aumente 2153 bytes. No obstante no altera la

  fecha y hora de creación de ninguno de ellos.

 

 

Nombre:

                                                                 HLLP.7000.B

                                                            Alias:

                                                                 HLLP.Oeba.7000

                                                            Tipo:

                                                                 Acción directa y Residente

                                                         Infecta a:

                                                                 Ficheros ejecutables de extensión COM; COMMAND.COM

                                                        Reparable:

                                                                 Sí, con Panda Antivirus

                                                          Tamaño:

                                                                 7000 Bytes

                                                Indice de peligrosidad:

                                                                 Bajo

                                               Condición de Activación:

                                                                 Al ejecutar el fichero infectado

                                                   Visto "In The Wild":