ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win32.TeddyBear

Clase Virus
Plataforma Win32
Descripción

Detalles técnicos

Este es un virus parásito de Windows con capacidad de puerta trasera . Cuando se ejecuta un archivo infectado, la rutina de instalación del virus toma el control, crea el archivo DLLMGR.EXE en el directorio del sistema de Windows y lo genera. El archivo DLLMGR.EXE es un código de virus puro, se queda en la memoria de Windows como una aplicación oculta y registra su archivo (DLLMGR.EXE) en el registro del sistema en la sección de ejecución automática (esto hará que Windows cargue y ejecute esto archivo en cada inicio):

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Teddybear = "xxxxDLLMGR.EXE"

donde "xxxx" es el nombre del directorio de sistema de Windows.

El virus luego permanece en la memoria de Windows y su rutina de "puerta trasera" gana control. Esta rutina abre la conexión y espera los comandos del host remoto, obtiene / envía archivos desde / hacia allí, etc. El virus también puede ejecutar archivos que son enviados por un host (incluida una actualización de virus). Además, el código del virus en el archivo DLLMGR.EXE (que el archivo infectado ha eliminado del sistema) no tiene código de infección. La rutina de infección se descarga del host y se ejecuta. Entonces, la infección y otras rutinas de virus son archivos ejecutables independientes, y el autor del virus los puede actualizar fácilmente. Se usó una tecnología muy similar por primera vez en el virus Win95_Babylonia Windows.

La versión de virus conocida y los componentes son compatibles únicamente con Win9x y no funcionan con WinNT. También tienen errores que impiden que el virus se propague en algunos casos. A pesar de esto, el autor del virus puede liberar nuevos componentes compatibles con NT y sin errores.


Enlace al original