|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| W32/Cervan.6256. Infecta ejecutables en segundo plano | ||
|---|---|---|
VSantivirus No. 886 - Año 7 - Martes 10 de diciembre de 2002 W32/Cervan.6256. Infecta ejecutables en segundo plano http://www.vsantivirus.com/cervan-6256.htm Nombre: W32/Cervan.6256 Tipo: Virus Alias: W32.Cervan.6256 Fecha: 1/dic/02 Plataforma: Windows 32-bits Tamaño: 6256 bytes Este virus infecta archivos PE (Portable Executable) de Windows. Es polimórfico y utiliza la técnica denominada "Entry-Point Obscuring" para su infección. Debido al uso de esta técnica, su código actual presenta varios errores que hacen que no funcione correctamente en algunas ocasiones. La tecnología "Entry-Point Obscuring" (EPO), consiste en forma básica en no modificar la dirección de inicio del programa infectado (normalmente, un virus modifica esta entrada para poder ejecutarse primero él). En su lugar busca instrucciones estándar de llamadas a rutinas o subrutinas (instrucciones JMP en assembler); modifica la dirección de destino para este salto, creando su propia tabla de funciones con "LoadLibrary" y "GetProcAddress" para ejecutarse cuando una función importada es llamada, y la hace apuntar a su código. Luego de que se ejecute el virus, le devuelve el control al programa. Como resultado de esta técnica el virus no siempre se activa al comienzo (cuando se ejecuta el programa infectado), y en contadas ocasiones nunca se activa. El virus no puede saber si la rutina interceptada se va a ejecutar siempre en dicho programa, o solo cuando se cumpla una condición o acción específica por parte del usuario. En concreto, el virus no se ejecuta directamente cuando un archivo infectado es ejecutado. El virus además es polimórfico, y se encripta a si mismo de diferentes maneras cada vez que infecta un archivo. La rutina de desencriptación es extremadamente larga porque contiene muchas instrucciones que no hacen absolutamente nada. Esto ocasiona que tome de un millón a tres millones de instrucciones (en assembler) el desencriptar el cuerpo del virus. Esto en ocasiones causa un enlentecimiento en la ejecución de archivos en el sistema infectado. Después que el virus se desencripta, primero extrae las direcciones de funciones normalmente utilizadas y presentes en cinco archivos DLL diferentes, y las almacena en una tabla para su uso posterior. Luego, intenta asignarse cerca de 6 KB de memoria para su uso. Sin embargo como la memoria en Windows está disponible en páginas de 4 KB cada una, se asigna 8 KB. Luego, el gusano mueve todo su código a dicha área de memoria y continúa su ejecución desde allí. El virus es además "multithread", o sea puede crear diferentes hilos de ejecución (threads) de si mismo. Para ello crea un objeto que controla en este caso un segundo hilo de ejecución. Luego de crear el objeto de control, ejecuta el segundo thread. Sin embargo, un error en su código hace que dicho mecanismo de control no funcione como debe, y como consecuencia el segundo hilo en ocasiones queda congelado. El hilo principal importa todos los API (Application Program Interface), el conjunto de rutinas que el programa original --el infectado-- utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo. Debido a que el virus es llamado cuando el programa original intenta llamar un API, el propio virus debe llamar este API por si mismo, o el programa infectado no funcionaría al devolverle el control. Si el segundo hilo se ejecuta, el virus lo usa para infectar otros archivos. Dicho de otra manera, mientras un programa se está ejecutando, el virus puede estar infectando otros archivos en segundo plano. Ello ocurre cada vez que un archivo es abierto por el programa original. Por ejemplo, cuando un programa es infectado, el virus infecta todos los archivos en formato PE que el primer programa pueda abrir durante su ejecución. Si el programa infectado no abre otros programas, el virus no infectará otros archivos. El virus infecta modificando la tabla de importaciones de manera que todas las llamadas a funciones originales del sistema apunten a su rutina desencriptadora, antes de ser devuelta a la rutina propiamente dicha. Otros virus que utilizan la técnica "Entry-Point Obscuring" Win32.HIV. Nuevas técnicas y constante actualización http://www.vsantivirus.com/hiv.htm W32/Press (Win32.HIV). ¿Moda de virus auto-actualizables? http://www.vsantivirus.com/press.htm W32/Simile (Etap). Un virus de difícil detección http://www.vsantivirus.com/simile.htm W32/Simile.D, Linux/Simile.D. Infecta Linux y Windows http://www.vsantivirus.com/simile-d.htm Babylonia. El primer virus capaz de auto actualizarse http://www.vsantivirus.com/babylonia.htm W32/Fosforo.A/B. 12 de julio bloquea todos los programas http://www.vsantivirus.com/fosforo.htm Virus: Win32.Idele. Infecta todos los ejecutables http://www.vsantivirus.com/idele.htm Glosario: PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles. Reparación manual 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: VSantivirus No. 499 - 19/nov/01 Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me VSantivirus No. 499 - 19/nov/01 http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP VSantivirus No. 587 - 14/feb/02 http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
