|
|
| Nombre: | Byway Alias: WaiChan, Venezolano, Chavez, Dir.Byway |
| Tipo: |
-Infector de archivos .EXE .COM |
| Tamaño |
2048 bytes |
| Origen: | Venezuela/1995 |
| Destructivo: | SI (indirectamente) |
| En la calle (in the wild): | SI |
Descripción
El virus ByWay (Alias: Wai-Chan) fue detectado por primera vez en Perú en Enero de 1996.
Este virus al parecer fue creado por un profesor de la Universidad Central de Venezuela llamado Wailang Chang en Agosto de 1994.
ByWay es residente en memoria, polimórfico y utiliza avanzadas técnicas de STEALTH.
La primera vez que se ejecuta un archivo infectado en una maquina limpia, el virus crea un archivo oculto en el directorio raíz llamado "CHKLISTx.MSx" ('x' es un blanco ficticio Alt-255) donde coloca su código, el tamaño del archivo es 2,048 bytes.
El autor del virus utiliza el nombre "CHKLISTx.MSx" para inducir al usuario a pensar que se trata de un archivo creado por el Anti-Virus MSAV que viene con el DOS. (Los archivos creados por MSAV se llaman CHKLIST.MS, tiene cualquier tamaño y pueden estar en más de 1 directorio).
Byway es un virus de CLUSTER o DIRECTORIO.
La forma de infección en el virus Byway es diferente a los demás virus, cuando el virus infecta un archivo reemplaza solamente el número del primer cluster que el archivo tiene asignado; el nuevo número apunta al cuerpo del virus (archivo CHKLISTx.MSx), el virus no modifica el contenido o tamaño del archivo infectado. Solamente existe una copia del virus en todo el disco. Es importante que el usuario no borre o altere el archivo "CHKLISTx.MSx", de lo contrario todos los archivos infectados serán dañados. La versión original de este virus infecta sólo archivos .COM en disco duro y archivos .COM/.EXE en disquetes. Otras versiones pueden infectar archivos .COM y .EXE en discos duros.
La rapidez con la que Byway infecta un disco es asombrosa, un simple DIR resultará en todos los archivos *.COM *.EXE infectados. BYWAY es DAÑINO!!!. Por su forma de infección, todos los archivos infectados tienen unidades de asignación cruzadas y clusters perdidos.
NO intente utilizar diagnosticadores de disco (CHKDSK, NDD, DISKFIX, SCANDISK) en un disco contaminado, porque todos los programas infectados serán dañados en vez de ser corregidos.
Byway contiene una bomba lógica que se activa a partir del año 1996 los siguientes días: 4-enero, 6-febrero, 8-marzo, 10-abril...etc (incremento de dos días por mes).
En estas fechas, después de un momento de haber trabajado con la PC aparece un mensaje girando en la primera línea de la pantalla que dice:
TRABAJEMOS TODOS POR VENEZUELA !!! y las notas del Himno Nacional de Venezuela.
Como parte del virus se puede encontrar los siguientes textos (algunos encriptados):
Versión Byway.a:
<by:Wai-Chan,Aug94,UCV>
The-HndV
CHKLIST MS
Versión Byway.b:
By:W.Chan
The-HndV
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú