Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.
by: The Judges Disemboweler.
written in Malmo (Sweden)

Si ello tiene éxito, la computadora no podrá reiniciarse ni desde el disco duro, ni desde un disquete. Esta acción destructiva es muy similar a la del virus CIH.

Otra rutina maliciosa, que se ejecuta solo en determinados momentos, hará que el intento por pinchar sobre un icono del escritorio falle, al moverse el icono de su posición original en el momento de querer apuntarlo con el cursor del ratón.

Básicamente, posee dos componentes, virus y troyano, con características de gusano.

Su acción no es inmediata, y una vez en memoria, espera varios minutos para proceder a enviarse a través del correo electrónico.

Las direcciones de envío, son tomadas de la libreta de direcciones de Windows, y de los mensajes existentes en las carpetas de mensajes del Outlook, del Internet Mail and News y del cliente de correo del Netscape (Messenger). El programa busca el cliente de correo SMTP instalado en el sistema a través del registro, copia su configuración (busca la base de datos de mensajes de estos programas) y luego utiliza su propia rutina SMTP para enviarse.

Las direcciones son copiadas a un archivo especial con la extensión DAT (por ejemplo WG-SKYF.DAT). El nombre del archivo lo genera encriptando el nombre de la propia máquina, y lo guarda en C:\WINDOWS, el raíz C:\, o en la carpeta de C:\ARCHIVOS DE PROGRAMA.

Los mensajes generados, contienen numerosos asuntos, texto, y archivos adjuntos con diferentes nombres. El "Asunto" es seleccionado en forma aleatoria desde documentos DOC y TXT de la propia computadora o, tomados de una lista de frases incluidas en el propio virus.

También puede enviar (en uno de cada 5 envíos) más de un adjunto en cada mensaje (hasta un total de 6), e incluso archivos sanos junto a otros infectados. Los archivos infectados son todos PE (Portable Executable, como .EXE, .SCR, etc.), excluyendo los .DLL. Los archivos extras pueden ser .DOC, .TXT, y .JS (Java Script). Si uno de estos componentes sin virus es enviado como adjunto, su contenido es generado en forma randómica, aunque también puede ser un documento existente en la computadora infectada, existiendo el riesgo del envío de documentos privados con información confidencial.

Las frases incluidas en el código del virus son las siguientes:

sentences you
sentences him to
sentence you to
ordered to prison
convict
judge
circuit judge
trial judge
found guilty
find him guilty
affirmed judgment of conviction
verdict guilty plea
trialcourt
trial chamber
sufficiency of proof
sufficiency of the evidence
proceedings
against the accused
habeas corpus
jugement
condamn
trouvons coupable
rembourse
sous astreinte
aux entiers dpens
aux d.pensayant d.lib
rle pr.sent arr
t vu l'arr
t
conform.ment
la loi
ex
cution provisoire
rdonn
audience publique
afait constater
cadre de la procdure
magistrad
apelante
recurso de apelaci
pena de arresto
y co ndeno
mando y firmo
calidad de denunciante
costas procesales
diligencias previas
antecedentes de hecho
hechos probados
sentencia
comparecer
juzg ando
dictando la presente
los au tos
en autos
den uncia presentada

Cómo además es capaz de disfrazar al remitente del mensaje (el usuario infectado), modificando algunos caracteres de la dirección de respuesta, el virus no solo es muy difícil de detectar por su sola apariencia, sino que el intento de avisar al remitente que se encuentra infectado, falla por error en la dirección.

Las recomendaciones de no abrir jamás adjuntos no solicitados, es una norma que debe ser cumplida más que nunca, y en el caso de oficinas o lugares de trabajo, se recomienda que sea implementada a través de una correcta política de uso del correo electrónico por parte de los administradores de sistema hacia todos los usuarios, o incluso a través de estrictas reglas.

El programa utiliza sofisticadas técnicas anti-debugging, como las denominadas Structured Exception Handling (SEH), y hace uso de llamadas específicas del sistema a las API de Windows. También examina la presencia de alguna utilidad del tipo debugger (como Turbo Debugger, Soft-Ice, etc.) que se utilizan para examinar paso a paso el código que se ejecuta, intentando bloquearlas.

Algunas empresas antivirales, como Trend Micro, encontraron en su examen indicios de que el troyano bajo determinado escenario, sería capaz de escuchar por ciertos puertos, y conectarse a ciertas direcciones IP.

Es capaz de propagarse en redes, buscando las carpetas de Windows en cada unidad mapeada. Los nombres buscados son:

Winnt 
Win95 
Win98 
Windows

Si alguna de estas carpetas contiene un archivo WIN.INI, el archivo infectado es copiado a esa carpeta, y el WIN.INI es modificado de tal modo que la línea "run=" apunte a dicho archivo. De este modo la computadora infectada ejecutará el virus en el próximo reinicio (esto no funciona en Windows NT).

Cuando un archivo infectado es ejecutado, el virus intenta localizar el explorador de Windows (Explorer.exe), en la memoria. Si tiene éxito, busca una sección donde pueda insertar su código de 120 bytes de largo, enganchándose a la función "TranslateMessage".

Cada vez que esta función es llamada, un hilo (thread) es creado, y la función es liberada por el virus. Este hilo espera unos tres minutos antes de comenzar su rutina de envío masivo vía e-mail.

Una vez en memoria, el virus infecta todos los archivos en formato PE de Windows que encuentra en la carpeta C:\WINDOWS\SYSTEM y sus subcarpetas, a excepción de los .DLL.

Los archivos infectados, aumentan su tamaño en aproximadamente 28 Kb, al agregarse el código viral a la última sección de los mismos. Estos archivos mantienen su dirección de inicio (point address) original, pero se agregan 512 bytes de código "basura" en ese punto, haciendo que se ejecute la última sección, donde el virus toma el control utilizando un código polimórfico y encriptado. Esta acción es hostil para cualquier debugger que intente seguir el desarrollo del código.

El virus también agrega entradas al archivo WIN.INI, además de realizar modificaciones en el registro para poder ejecutarse en cada reinicio.

La clave modificada en el registro de Windows es la siguiente:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
(varios nombres)=C:\WINDOWS\SYSTEM\(varios nombres).EXE

La infección se produce generalmente cuando se ejecuta un archivo PE (.EXE, .SCR, etc.) adjunto a un mensaje (no solicitado). Note que el nombre del ejecutable, así como el asunto, y el texto del mensaje, tienen numerosas variantes, pudiendo tener el asunto hasta 60 caracteres de longitud.

Pero por su características, también puede propagarse a través de programas infectados en una red local, o a través de archivos descargados de Internet o de disquetes, CD-Roms, etc.

La primera vez que se corre el archivo infectado, el virus se copia a la carpeta C:\WINDOWS\SYSTEM, pero alterando el último carácter del nombre original. Por ejemplo: CFGWIZ32.EXE se copia como CFGWIZ31.EXE, PSTORES.EXE como PSTORER.EXE, etc.

Si el archivo copiado fuera CFGWIZ31.EXE (es solo un ejemplo), la modificación en el registro quedaría así:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
CFGWIZ31=C:\WINDOWS\SYSTEM\CFGWZ31.EXE

Este archivo, infectará otros archivos PE en la misma carpeta SYSTEM.

Algunos antivirus pueden identificarlo como W32.Levi.3205, debido a su poliformismo.


Como sacar el troyano de un sistema infectado

1. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema. Tome nota del nombre del troyano, para eliminarlo luego del registro.

2. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche sobre la carpeta "RUN".

5. Busque en la ventana de la derecha, todas las claves que hagan referencia al virus. Note que el nombre de la clave es similar al del ejecutable. Por ejemplo (es solo un ejemplo, ya que el virus puede tomar cualquier nombre):

CFGWIZ31 "C:\WINDOWS\SYSTEM\CFGWZ31.EXE"

6. Pinche sobre el nombre "CFGWIZ31" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Reitere este último paso con otros posibles nombres dados al virus.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Desde Inicio, Ejecutar, escriba WIN.INI y pulse Enter.

10. Busque una línea parecida a la siguiente (recuerde, es solo un ejemplo):

[windows]
run = C:\WINDOWS\SYSTEM\CFGWZ31.EXE

11. Modifique la línea de este modo:

[windows]
run =

12. Salga del bloc de notas y guarde los cambios realizados

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: Symantec, Network Associates, Trend Micro, Sophos, F-Secure, Kaspersky


Ver también:

05/set/01 - Magistr.b. ¿Lo protege realmente su antivirus?
05/set/01 - A fondo: W32/Magistr.b, de la raza de las grandes plagas
04/set/01 - Se propaga versión "mejorada" del destructivo Magistr
10/set/01 - ZoneAlarm no es desactivado por el Magistr.B
05/may/01 - "Magistr", sofisticado enemigo que avanza a nivel mundial
03/may/01 - Hoax: Virus en archivo SULFNBK.EXE
19/may/01 - Los virus "manuales". Hágale un favor al virus, ejecútelo
27/may/01 - SULFNBK.EXE: LA VERDAD (o como matar mosquitos a cañonazos)
07/abr/01 - La cuenta final: el virus "Magistr" acecha en las sombras
19/ago/99 - Virus: W32/Kriz. Se activa un 25 de diciembre
09/dic/00 - Pe_Kriz.4050. Actúa casi de igual forma que el CIH
20/dic/00 - W32.Kriz. Un peligroso regalo de Navidad
07/oct/00 - Virus: W32/MTX@MM
07/abr/00 - El W95.CIH a fondo
12/feb/01 - San Valentín y los virus. Consejos para todo el año
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED