ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Worm |
Plataforma | Win32 |
Descripción |
Detalles técnicosEste es un gusano de virus Win32 muy peligroso. El virus en sí es un archivo EXE de Windows PE de aproximadamente 23 Kb de longitud (comprimido por UPX, con un tamaño descomprimido de aproximadamente 52 KB) y escrito en Microsoft Visual C ++. Se propaga a través de la red local e infecta las aplicaciones EXE de Win32 (archivos PE EXE) allí. Al infectar, el virus mueve un archivo que comienza al final del archivo, luego se escribe al comienzo del archivo. Como resultado, cuando se inicia un archivo infectado, el código del virus toma el control. El virus usa llamadas específicas de Win9x, y puede funcionar solo en máquinas Win9x. Debido a su "naturaleza" de red, el virus puede infectar archivos en máquinas NT, pero no se pueden ejecutar allí. Rutinas de virus Cuando se ejecuta un archivo infectado, el virus obtiene su código de un archivo host infectado y lo coloca en el directorio del sistema de Windows con el nombre DDRAW32.DLL (este archivo es una aplicación Win32 PE con un código de virus "puro"). Luego, el virus genera este archivo DLL de "código puro", desinfecta un archivo de host y lo genera, devolviendo el control al programa de host. Si se produce un error arriba, el virus muestra un mensaje de "Error fatal". Cuando se ejecuta, el archivo de virus DDRAW32.DLL activa las principales rutinas de virus. Existen cuatro:
Sigilo Además de su rutina de sigilo de registro, el virus también oculta su archivo DDRAW32.DLL. Para hacerlo, enlaza las funciones de búsqueda del proceso de memoria y devuelve un mensaje de "no proceso" en el caso de que se esté buscando un proceso infectado. Otro El virus altera las siguientes claves de registro:
El virus también contiene la cadena de texto:
|
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |