|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
AVISO Puede detectarse este nuevo virus con DATS 4164, en algún fichero, siendo falso positivo. Si es su caso, rogamos nos lo envíen. Con los próximos DATS 4165 vendrá mejorada la cadena de detección.
Nuevo virus troyano gue provoca un reset al iniciar Windows en modo normal, si bien no es de propagación masiva
Nombre de virus: ExitWinAlias conocidos: ---
Riesgo Infección: Bajo (Bajo, Alto, Muy Alto)
Activación: Resetea Windows (al iniciar Windows, provoca resets continuos)
Propagación: Por ejecución del fichero troyano
Detección: DATS 4164 (y con DATS 4165 se evitarán algunas falsas alarmas)
Motor necesario: 4.0.50
Infección actual: Inicial (Inicial, Media, Elevada)
Acaban de aparecer dos troyanos escritos en Visual Basic, cuya ejecución produce los mismos efectos, la modificación del registro de sistema de modo que al iniciar Windows, se provoca un reset en el ordenador, sin llegar nunca a poder arrancar Windows en modo normal.
Al parecer son dos virus independientes, pero dado que producen las mismas consecuencias, se les considera y detecta como un sólo virus, el EXITWIN.
Desde los DATS 4164 se controlan genéricamente ambos virus pero en algún fichero puede detectarse la cadena de identificación sin que sea realmente el virus. En el caso de ser detectado y no tener el problema del reset indicado, rogamos nos envíen copia del fichero en cuestión a sat@satinfo.es . Los próximos ficheros DAT ya vendrán con nuevas cadenas de detección que limitarán dicha falsa alarma.
Para su eliminación hemos preparado la utilidad ELIEXIT.EXE que borrará el fichero troyano, si lo encuentra, y restaurará las claves del registro de sistema, para lo cual deberá arrancarse en modo A PRUEBA DE FALLOS, para no ejecutar las claves del registro, y a continuación ejecutar ELIEXIT.EXE . Pueden bajar esta utilidad, del apartado de utilidades de nuestra web, www.satinfo.es
El primero de los troyanos se copia como WINCONFIG.EXE de 20.480 bytes en C:\Windows y el segundo se copia en la carpeta de Inicio de ordenadores con S.O. en alemán, con el nombre de WIN32PRO.EXE de 7168 bytes
VIRUSCAN SPAIN SERVICE 10-10-2001