Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Estos no son peligrosos gusanos de virus sigilosos cifrados residentes en memoria. Al ser ejecutados, muestran los mensajes:

"Worm.Info.2142":

– * – INFOSYSTEM – * -versión 1.04(C) 1995 por Ziff Co.Leyendo información del sistema …Tipo de computadora: PC IBM

"Worm.Info.2191":

InfoSystem versión1.01Leyendo información del sistema …Tipo de computadora: PC IBM

"Worm.Info.2259":

Leyendo información del sistema …Tipo de computadora: PC IBM

luego verifican el tipo de computadora y muestran una de las cadenas:

OriginalXTAConvertiblePS / 2JúniorDesconocido

Entonces el virus muestra los mensajes:

Comprobando el controlador de HDD …Tipo de controlador SCSI: Desconocido (Error14)

y llama a la rutina de infección. Al infectar la computadora, el virus busca los directorios que se enumeran en la cadena PATH, crea allí los archivos INFO.COM y escribe su código allí. Luego, el virus busca los archivos .BAT en estos directorios y escribe los comandos:

@si no existe info.com goto noinfo@info> nul:sin información

al comienzo de los archivos por lotes. Al ejecutarse, dichos archivos BAT ejecutan el virus.

Luego, el virus se instala residente en memoria en UMB, HMA o memoria convencional, engancha INT 1Ch, 21h y luego suelta su código en los directorios actuales en llamadas FindFirst (AH = 11h, 4Eh). Al acceder a los archivos BAT modificados, y en las llamadas FindFirst / Next, el virus llama a la rutina invisible. El virus también verifica el nombre de los programas que se ejecutan, y si el nombre es CHDDSK, WEB o DRWEB, el virus desactiva sus rutinas ocultas.

Al conectar INT 1Ch, el virus comprueba el vector INT 1 (rastreo) y desactiva el rastreo del código del virus.

El viernes 13 el virus cambia los puertos de video VGA.

El virus también contiene las cadenas de texto internas:

COMMAND NET? .CHKDSK.WEB.DRWEB.INFO.COM ATH = *. BAT

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Worm
Plataforma	DOS
Descripción	Detalles técnicos Estos no son peligrosos gusanos de virus sigilosos cifrados residentes en memoria. Al ser ejecutados, muestran los mensajes: "Worm.Info.2142": – * – INFOSYSTEM – * -versión 1.04(C) 1995 por Ziff Co.Leyendo información del sistema …Tipo de computadora: PC IBM "Worm.Info.2191": InfoSystem versión1.01Leyendo información del sistema …Tipo de computadora: PC IBM "Worm.Info.2259": Leyendo información del sistema …Tipo de computadora: PC IBM luego verifican el tipo de computadora y muestran una de las cadenas: OriginalXTAConvertiblePS / 2JúniorDesconocido Entonces el virus muestra los mensajes: Comprobando el controlador de HDD …Tipo de controlador SCSI: Desconocido (Error14) y llama a la rutina de infección. Al infectar la computadora, el virus busca los directorios que se enumeran en la cadena PATH, crea allí los archivos INFO.COM y escribe su código allí. Luego, el virus busca los archivos .BAT en estos directorios y escribe los comandos: @si no existe info.com goto noinfo@info> nul:sin información al comienzo de los archivos por lotes. Al ejecutarse, dichos archivos BAT ejecutan el virus. Luego, el virus se instala residente en memoria en UMB, HMA o memoria convencional, engancha INT 1Ch, 21h y luego suelta su código en los directorios actuales en llamadas FindFirst (AH = 11h, 4Eh). Al acceder a los archivos BAT modificados, y en las llamadas FindFirst / Next, el virus llama a la rutina invisible. El virus también verifica el nombre de los programas que se ejecutan, y si el nombre es CHDDSK, WEB o DRWEB, el virus desactiva sus rutinas ocultas. Al conectar INT 1Ch, el virus comprueba el vector INT 1 (rastreo) y desactiva el rastreo del código del virus. El viernes 13 el virus cambia los puertos de video VGA. El virus también contiene las cadenas de texto internas: COMMAND NET? .CHKDSK.WEB.DRWEB.INFO.COM ATH = *. BAT
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Worm.DOS.Info

Detalles técnicos