|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde el 12 de agosto de 1996
| W32/Emperor. Un virus tan destructivo como el CIH | ||
|---|---|---|
Viernes 21 de mayo de 1999. Nombre: W32/Emperor Alias: Emperor (Emperador) Tipo: MBR, Boot, Residente, Archivos COM/EXE. Tamaño: 6000 bytes El "Emperor" es un nuevo virus que puede llegar a causar mucho daño. A diferencia de virus como el CIH y otros que utilizan Windows 95/98 y sus archivos PE para ocultarse e infectar, el "Emperor" (Emperador), infecta archivos MS-DOS a la vieja usanza (agrega su código al final), pero agrega peligrosas rutinas que pueden engañar a cualquier antivirus y causar graves daños a máquinas tanto bajo MS-DOS como bajo Windows 95/98, al estilo del CIH (borrado del Flash-BIOS y del disco duro). Tanto el update del AVP (UP990515), como la base de datos del nuevo F-Prot 3.05, reconocen y eliminan el virus "Emperor". El "Emperor" es un virus "multipartite" (varios tipos en uno solo), residente en memoria y polimórfico. Infecta archivos COM y EXE del DOS, escribiendo su código al final de estos archivos y borra el MBR (Master Boot Record) de la unidad de disco duro y el sector de booteo de los disquetes, suplantándola por su propia rutina de carga, la que instala el virus en la memoria del sistema al reiniciarse el PC. El virus tiene muchos trucos "anti-debugging" para no ser detectado. Usa varias rutinas de ocultamiento y complejos métodos de acceso en el Kernel (corazón) del DOS para conseguir eludir las protecciones anti-virus. El virus presenta en su código algunos errores, y esto hace que en algunos casos los archivos infectados, al ejecutarse, hagan que el sistema se cuelgue. Para infectar el MBR el virus usa varios trucos que logran engañar la protección de la mayoría de los anti-virus, escribiendo los datos con llamadas directas a los puertos de la controladora del disco duro, o enviando al buffer del teclado la tecla "Y" (de "YES") para burlar las protecciones de los BIOS Megatrends o Award, desactivando la opción "VirusWarning" de estos. El virus mantiene los MBR originales y sectores del boot, en lugares reservados del disco, pero encripta y modifica sus códigos para que se pueda acceder a ellos solamente con el virus residente en memoria y activo, o sea cuando el disco es infectado, el virus instala su código en memoria e intercepta la rutina de inicio habitual. El virus también modifica el MBR y sus tablas de partición. Como resultado no es posible cargar un sistema de MS limpio desde disquetes de DOS, y es necesario usar otras versiones de DOS, o herramientas especiales para acceder a la unidad de disco duro infectada. Mientras infecta el MBR o el sector de booteo de disquetes, el virus verifica si existe algún código específico, y borra la memoria CMOS si este código es encontrado. Se despliega entonces el mensaje "Error in CMOS" y se bloquea la computadora. El virus "Emperor" posee además una rutina de destrucción muy peligrosa. Borra todos los datos en la unidad de disco duro y adultera la Flash-BIOS de la misma manera que lo hace el "Win95.CIH" (alias "Chernobyl", etc.). En ese caso el virus despliega este mensaje:
Esta rutina destructora se ejecuta si el virus
encuentra un "debugger" (programa para
ejecutar paso a paso un código de programa)
activo en la memoria del sistema, o si el sistema
es reiniciado en algún momento entre las 5 y las
10 de la mañana. Esta rutina también puede
llegar a activarse en cualquier otro momento
debido a errores en el propio código del virus.
Basado en
información recopilada por Datafellows (F-Prot
Antivirus) basado en un análisis de Eugene
Kaspersky (AVP Antivirus). |
||
