Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Demiurg (Demig). Infecta archivos DOS, Win 32 y Excel
 
VSantivirus No. 190 - Año 5 - Domingo 14 de enero de 2001

Nombre: Demiurg (Demig)
Tipo: Infector de archivos, macros, multipartite
Alias: Demig.16354, X97M.Demiurg.A, X97M/Demiurg, W32/Demiurg, Pe_demiurg.A, Bat_demiurg.A, Demiurg.17584, X97m_demiurg.A, W32.Demiurg.16354.dr, X97M.Demiurg.A, Demiurg.16354.Bat
Tamaño: 16,354 bytes

Este virus multipartite (se les llama así a aquellos virus capaces de infectar diferentes tipos de archivos), puede infectar archivos MS-DOS, Windows (Win32) y Excel.

Bajo DOS, infecta archivos .COM, .EXE y .BAT.

Bajo Windows, infecta archivos ejecutables PE (Win32) y la librería KERNEL32.DLL.

Y en Office, puede crear libros Excel conteniendo el virus (virus dropper).

El virus en si mismo es un ejecutable Win32 en formato PE, y es capaz de realizar todas sus funciones, solamente cuando se ejecuta bajo Windows.

Otros componentes infectados son "virus dropper", o sea que esconden el cuerpo del virus y lo liberan bajo determinadas circunstancias. De esta manera, el virus no se propaga directamente desde un archivo infectado, pero utiliza técnicas para liberar copias de si mismo desde los archivos infectados.

Cuando un archivo de DOS es ejecutado, o una planilla de Excel infectada es abierta, la rutina del virus crea un archivo C:\DEMIURG.EXE y extrae de allí el código del virus. La rutina principal de éste, toma entonces el control.

Bajo Win32, el virus permanece residente en memoria, a través de la ejecución del archivo KERNEL32.DLL infectado, el cuál engancha todas las funciones de acceso a los archivos (abrir, copiar, mover, cambios de atributos), e infecta archivos .COM, .EXE y .EXE de Win32 (PE).

Cuando infecta un archivo, el virus se copia a si mismo al final de aquel. Si infecta archivos .COM, .EXE o .BAT de DOS, convierte estos archivos en "dropper" (esconden el virus, y lo liberan bajo ciertas condiciones). Solo en el caso de los archivos .EXE de Win32 en formato PE (Portable Executable), la infección ocurre con el código principal del virus, haciendo que la propagación se haga en forma directa, sin necesidad de crear nuevos archivos.

Para infectar el archivo KERNEL32.DLL de Windows, el virus utiliza un truco. KERNEL32.DLL es permanentemente usado por Windows, siendo bloqueado para escritura por el mismo. Entonces, el virus hace una copia del archivo en otra carpeta, e infecta la copia.

Por ejemplo:

C:\WINDOWS\SYSTEM\KERNEL32.DLL - archivo original
C:\WINDOWS\KERNEL32.DLL - copia infectada

Cuando Windows es reiniciado, él busca la librería KERNEL32.DLL primero en el raíz de Windows (C:\WINDOWS), luego en el directorio del sistema. De este modo, la copia infectada (en C:\WINDOWS) es encontrada primero, y cargada por defecto.

El virus modifica e intercepta las siguientes funciones API:

CopyFileA
CopyFileW
CreateFileA
CreateFileW
GetFileAttributesA
GetFileAttributesW
MoveFileA
MoveFileExA
MoveFileExW
MoveFileW
SetFileAttributesA
SetFileAttributesW
_lopen

Después que el virus infecta el archivo KERNEL32.DLL, el mismo libera el archivo DEMIURG.SYS (de 70 Kb aprox.) en C:\.

Para afectar la planillas de Excel, el virus genera una imagen completa de si mismo, en formato texto, y la copia al archivo: DEMIURG.XLS en la carpeta de inicio del Excel. Cuando usted abre un archivo de Excel el virus importa el código desde el archivo KERNELLL32 y lo "oculta".

DEMIURG.XLS contiene un macro que permite auto completar un trabajo. En el próximo inicio de Windows, el Excel acepta ese archivo y activa la subrutina "Auto_Open".

Esta subrutina puede tomar el código del virus en formato .TXT del archivo: C:\DEMIURG.SYS convertirlo en código binario en formato PE (C:\DEMIURG.EXE).

El macro que contiene el código del virus se llama "Demiurg".

Este virus no se manifiesta de ninguna manera, pero contiene el siguiente texto (nunca mostrado):

[The Demiurg] - a Win32 virus by Black Jack
written in Austria in the year 2000

Tipos de infección

El virus infecta ejecutables DOS y Windows 3.x (*.EXE), agregando algunas líneas de código y el cuerpo del virus al archivo .EXE. Las líneas de código agregadas, permiten crear otro archivo conteniendo el propio virus.

También puede infectar archivos BAT, agregando algunas líneas de código y el cuerpo del virus al archivo original.

Los archivos .COM son infectados, convirtiendo estos archivos a .EXE.

También infecta archivos de Win 95, Win98, Me, 2000 y NT (*.EXE y *.XLS). El virus solo se propaga en la computadora local, no se envía por correo, ni funciona en carpetas compartidas en red.

Instrucciones para removerlo manualmente

1. Busque (Inicio, Buscar, Archivos y carpetas) y borre el archivo DEMIURG.XLS

2. Busque (Inicio, Buscar, Archivos y carpetas) y borre el archivo C:\DEMIURG.SYS

3. Borre el archivo duplicado del KERNEL32.DLL (CUIDADO, NO BORRE el archivo KERNEL32.DLL de la carpeta \WINDOWS\SYSTEM o WINNT\SYSTEM32).

4. Ejecute un antivirus al día y seleccione revisar y reparar los archivos infectados.

Fuente: AVP, McAfee, Trend Micro, Symantec

 

Copyright 1996-2001 Video Soft BBS