ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.DOS.Info

Clase Worm
Plataforma DOS
Descripción

Detalles técnicos

Estos no son peligrosos gusanos de virus sigilosos cifrados residentes en memoria. Al ser ejecutados, muestran los mensajes:

"Worm.Info.2142":


– * – INFOSYSTEM – * –
versión 1.04
(C) 1995 por Ziff Co.
Leyendo información del sistema …
Tipo de computadora: PC IBM

"Worm.Info.2191":


InfoSystem versión1.01
Leyendo información del sistema …
Tipo de computadora: PC IBM

"Worm.Info.2259":


Leyendo información del sistema …
Tipo de computadora: PC IBM

luego verifican el tipo de computadora y muestran una de las cadenas:


Original
XT
A
Convertible
PS / 2
Júnior
Desconocido

Entonces el virus muestra los mensajes:


Comprobando el controlador de HDD …
Tipo de controlador SCSI: Desconocido (Error14)

y llama a la rutina de infección. Al infectar la computadora, el virus busca los directorios que se enumeran en la cadena PATH, crea allí los archivos INFO.COM y escribe su código allí. Luego, el virus busca los archivos .BAT en estos directorios y escribe los comandos:


@si no existe info.com goto noinfo
@info> nul
:sin información

al comienzo de los archivos por lotes. Al ejecutarse, dichos archivos BAT ejecutan el virus.

Luego, el virus se instala residente en memoria en UMB, HMA o memoria convencional, engancha INT 1Ch, 21h y luego suelta su código en los directorios actuales en llamadas FindFirst (AH = 11h, 4Eh). Al acceder a los archivos BAT modificados, y en las llamadas FindFirst / Next, el virus llama a la rutina invisible. El virus también verifica el nombre de los programas que se ejecutan, y si el nombre es CHDDSK, WEB o DRWEB, el virus desactiva sus rutinas ocultas.

Al conectar INT 1Ch, el virus comprueba el vector INT 1 (rastreo) y desactiva el rastreo del código del virus.

El viernes 13 el virus cambia los puertos de video VGA.

El virus también contiene las cadenas de texto internas:


COMMAND NET? .CHKDSK.WEB.DRWEB.INFO.COM ATH = *. BAT


Enlace al original