Win32.Klniber
SINTOMAS: Incremento de tamaño del ejecutable (aproximadamente 25 kb).Algunos ejecutables pueden generar errores. DESCRIPCIÓN TÉCNICA: El virus empieza descifrando su código. A continuación obtiene la dirección en la que se carga el kernel32, para encontrar la dirección de las funciones necesarias para el proceso de infección.
A continuación se inicia la búsqueda de todos los ejecutables de la carpeta en uso. Si el archivo tiene un tamaño entre 10 kb y 195 kb y la suma de verificación (checksum) a 0, se inicia la infección. Primero parchea el punto de entrada. Extrae 7 bytes de cada punto de entrada, los guarda al final del código de infección e inserta algunas instrucciones que redirijan el flujo del programa hacia el virus. Entonces modifica el código de infección para que el archivo que va a ser infectado pueda iniciar el programa original. Al utilizar un número aleatorio, el virus cifra el código de infección y reconstruye la rutina de descifrado, así, el programa que va a ser infectado será capaz de descifrar el virus. Finalmente el virus anexa el código al archivo ejecutable encontrado. El virus sólo infecta los archivos de la carpeta en uso. INSTRUCCIONES DE LIMPIEZA: Analice sus archivos con BitDefender para desinfectarlos.ANALIZADO POR: Mihai Razvan Benchea, investigador de virus. |