|
|
| Nombre: | HLLC.Crawen.8306 Alias: |
| Tipo: |
Infecta archivos .EXE con el método de acompañamiento |
| Tamaño | 8306 bytes |
| Origen: | USA |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
Descripción
HLLC.Crawen.8306 es un virus de acompañamiento, es decir, el virus NO modifica los archivos .EXE originales sino que crea un archivo con el mismo nombre pero con la extensión .COM en el mismo directorio donde se encuentra el archivo origen .EXE, el archivo .COM que se crea tiene los atributos de oculto y sistema por lo que el usuario NO puedo verlo con un simple dir.
Porque el virus hace eso?
Simple, Los archivos .COM tienen prioridad sobre los archivos .EXE\,
es decir, si hay 2 archivos con el mismo nombre pero con diferente extensión (un COM y un EXE) primero se ejecuta el archivo .COM, con esto el virus tiene asegurado su ejecución.
Ej.
1- PC sin virus, archivo ACCSTAT.EXE limpio.
ACCSTAT.EXE 32,000 bytes
2- PC con virus, archivo ACCSTAT "infectado"
ACCSTAT.EXE 32,000 bytes
ACCSTAT.COM 8,306 bytes <-- Aquí está el virus (archivo oculto)
3- Usuario desea ejecutar ACCTSAT y digita:
C:\> ACCSTAT
Se ejecuta el archivo ACCSTAT.COM (con virus), el virus
busca otros archivos .EXE a infectar con el mismo procedimiento.
Como puede verse la única forma de eliminar el virus es eliminar los archivos infectados (los archivos *.COM). En los archivos .EXE no hay nada que hacer porque no han sido alterados en ninguna forma.
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú