Nuevo virus de doble funcionalidad: Infector de EXES PE y de WORD :

Nombre de virus: W95/HEATHEN.b

Alias conocidos: W97M/Heathen.b

Riesgo Infección: Bajo   (Bajo, Alto, Muy Alto)

Activación: Tiene previsto actuar sobre determinadas extensiones

Propagación: Por ejecución de fichero EXE infectado.

Detección: Desde DATS 4095

Motor necesario: Engine 4.0.70 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Un nuevo virus de doble acción, derivado de un anterior virus Heathen,
ha sido identificado como W95/Heathen.b

Como el anterior, infecta ficheros EXE PE (portable-ejecutables) y en los documentos y plantillas de Word, crea el módulo “NewMacros”, cuyo código invoca instrucciones del Kernel32.DLL para extraer  un ejecutable embebido.

El virus contiene una serie de extensiones en las cuales se supone actuará algún payload (caballo de Troya) de borrado o manipulación. Estas extensiones son: TXT, DBF, ARJ, BMP, XLS, ZIP, RAR, JPG,

El virus crea dos ficheros, SYSTRAY.COM y W.VDO, y modifica el registro de sistema de forma que al arrancar ejecute el SYSTRAY.COM
 
El primer Heathen se controló desde Junio 99 con DATS 4031, y de él hubo una significativa propagación. Por ello se informa de esta nueva variante.

Se controla totalmente desde DATS 4095, ya disponibles en nuestra web. Puede bajar los últimos DAT desde la página principal de nuestra web www.satinfo.es, guardar como DATS4.ZIP en C:\DATS y ejecutar la tarea AUTOUPDATE, o  bajar de nuestra web  www.satinfo.es el fichero SDAT4095 o posterior, y ejecutarlo. Para actualizar NT o W2000, aconsejamos ejecutar el SDAT4095.exe en cuestión, para asegurar la correcta actualización.
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L.21-9-00
 
 

Anterior