HOME
NOTICIAS
REDES WIRELESS
PREGUNTAS FRECUENTES
GLOSARIO
VIRUS
ARTÍCULOS
INTRUSIONES
Google
 
Web www.virusprot.com

VIRUS INFORMÁTICO
Enciclopedia de Virus
Virus Importantes
Guía de Antivirus
InfoVirus
Historia de los Virus

KRIZ

 
Info Virus
Enciclopedia
Noticias
 Virus Klez
Virus Bagle

Índice

Alias: Win32_Kriz, Win32.Kriz, W32/Kriz 

Kriz es un virus polimórfico residente en memoria. Se replica bajo sistemas de Win32 e infecta archivos Exe PE (ejecutables portables) con extensiones EXE y SCR. También infecta la librería de Windows KERNEL32.DLL, lo que permite al virus permanecer siempre residente en memoria.

Cuando infecta un archivo, el virus crea una nueva sección al final de éste, lo encripta y escribe allí su código. Para identificar archivos ya infectados el virus hace uso de la cadena "666" que es escrita en un área reservada en la cabecera PE. Antes de la infección el virus comprueba los nombres de los archivos y evita infectar programas con los nombres siguientes:

_AVP32.EXE, 
_AVPM.EXE, 
ALERTSVC.EXE, 
AMON.EXE, 
AVP32.EXE,
AVPM.EXE, 
N32SCANW.EXE, 
NAVAPSVC.EXE, 
NAVAPW32.EXE, 
NAVLU32.EXE,
NAVRUNR.EXE, 
NAVWNT.EXE, 
NOD32.EXE, 
NPSSVC.EXE, 
NSCHEDNT.EXE,
NSPLUGIN.EXE, 
SCAN.EXE, 
SMSS.EXE

Al infectar la librería KERNEL32.DLL, el virus modifica su Tabla de Exportación (lista de funciones de exportación) y modifica direcciones de varias funciones, de modo que, en el próximo arranque de Windows todas las llamadas a esas funciones sean atrapadas por el código del virus. Esto permite al virus controlar las solicitudes de acceso a ficheros vía estas funciones.

El virus atrapa 16 funciones del KERNEL32 - apertura de ficheros, copia, borrado, cambia los atributos de archivo, crea un nuevo proceso y algunas más.

Al infectar la librería KERNEL32.DLL (que solamente puede ser abierta en modo lectura cuando Windows está activo) el virus la copia con un nombre temporal (esta versión de Kriz copia KERNEL32.DLL como KRIZED.TT6 en el directorio \Windows\System\), infectándola y crea el archivo WININIT.INI que hace que Windows sustituya el KERNEL32.DLL original con una copia infectada durante el siguiente arranque.

El virus tiene efectos muy peligrosos que se activan el 25 de Diciembre. Cuando infecta cualquier archivo, el virus destruye la memoria CMOS, sobrescribiendo datos en todos los archivos en los discos duros disponibles y trata de destruir las Flash BIOS utilizando la misma rutina que utiliza el virus CIH (Chernobyl).

El virus incorpora una melodía que nunca sale por pantalla. 

Los lectores de esta página también consultaron:
Virus de Hoy, Antivirus de Ayer...
Virus en PDAs
Virus y Antivirus
Fin del Reinado de la Seguridad Perimetral


VIRUSPROT.COM - Seguridad Informática, Virus y Seguridad Wifi
Copyright © VIRUSPROT.COM