viernes, 26 de marzo de 1999

Virus que infecta los archivos de ayuda

Win95/SK es un nuevo virus polimórfico para Windows 95/98
que infecta los ejecutables (Portable Executable) de estos
sistemas operativos. Pero lo que hace novedoso a este virus
es su capacidad para infectar también los archivos de ayuda
Windows (.HLP).
El virus se ha detectado principalmente en Rusia, de donde
se cree que procede. Algunos fallos en su funcionamiento que
provocan errores en el kernel, la lentitud con la que se
reproduce, ó que solo infecte los ficheros HLP en los sistemas
que tienen el soporte del lenguaje ruso, son entre otros los
factores que indican que su expansión va a ser mínima.

Aunque pueda sonar a invención de última hora, ya se conocía
la posibilidad de crear un virus que utilizara los ficheros
de ayuda de Windows. Pero no ha sido hasta la aparición de
Win95/SK cuando se ha llevado la teoría a la práctica.

Los ficheros HLP pueden ser infectados ya que contienen macros
basadas en un lenguaje script. Las macros son ejecutadas de
forma automática por la aplicación WINHELP.EXE cada vez que
se abre un fichero de ayuda. Este lenguaje es el que permite
la creación y ejecución de programas.

Otros puntos a destacar del virus los podemos encontrar en
la forma de infectar los ejecutables de Windows a través
de la tecnología EPO (Entry Point Obscuring) que, a diferencia
de los virus tradicionales, consiste en seguir la pista al
código del programa que lo albergará y situar donde le
conviene el salto al código del virus. Los archivos comprimidos
tampoco escapan a este virus, ya que posee la habilidad para
infectar los tipo ARJ, HA, RAR y ZIP.

El virus contiene un payload destructivo que se activa cuando
se detecta que queremos ejecutar algún antivirus. En concreto
vigila los ficheros cuyos nombres coincidan con ADINF, AVPI,
AVP, VBA ó DRWEB, cuando esto ocurre el virus borra todos los
ficheros de los discos duros a los que tiene acceso el sistema.
Para terminar cuelga al sistema a través de la función
Fatal_Error_Handler.

Si piensa que su sistema puede estar infectado y quiere evitar
que el virus active la rutina de destrucción puede simplemente
renombrar el ejecutable del antivirus que utilice para que no
coincida con los nombres que el virus comprueba. Otro payload
más inofensivo se activa dependiendo de un contador al azar y
tan solo muestra el siguiente mensaje por pantalla: " 1997
VBA Ltd. E-mail:support@vba.minsk.by".

El virus presenta una complejidad inusual, que ha provocado
que los expertos necesitaran varios días para poder conocerlo
a fondo. En las URL de referencia se puede encontrar una
descripción técnica y detallada del virus.

Más información:
AVP
Data Fellows


Bernardo Quintero



No hay comentarios:

Publicar un comentario en la entrada