Un nuevo virus ha saltado a la escena. Bajo el nombre de [Ithaqua] y firmado por Wintermute/29A aparece un nuevo virus que destaca por su complejidad, aunque sus efectos no resultan en ningún caso perjudiciales.
Los afectados por este nuevo virus no sufrirán ningún daño, todo lo que hace llegado el día de su activación, curiosamente todos los 29 de abril, es mostrar un efecto de nieve cayendo por la pantalla y el mensaje «[Ithaqua] Virus by Wintermute/29A», bloqueando el ordenador y obligando a reiniciarlo.
Panda Software ha sido la primera firma en detectar este tipo de virus, y según ellos mismos afirman resulta bastante difícil de detectar. En el ámbito técnico se puede afirmar que se trata de un virus multipartite (capaz de atacar múltiples entornos), residente en memoria y de tan sólo 8030-8542 bytes de tamaño. El virus ejecerce su función infectando ficheros con extensiones .com y .exe, así como el Master Boot Record (MBR) del disco duro.
Hay que señalar que los ficheros infectados ven aumentado su tamaño con el código del virus. La gran dificultad alojada en el [Itaqua] radica en sus múltiples y variados sistemas de infección. Estos sistemas son variados en el hecho que infectan ficheros .com por el sistema EPO (Entry Point Obscuring), que consiste en seguir la pista al código del programa que lo albergará y situar donde le conviene el salto al código del virus. Para que este sistema funcione, se requiere no sólo la presencia de memoria EMS, sino que los ficheros a infectar sean de un tamaño menor a 32 KB.
Para los archivos .exe el virus dispone del método de infección por búsqueda de «huecos», o cavities, es decir porciones del archivo ocupadas por ceros (sin código). Con ello el tamaño del fichero infectado no aumenta, por lo que su visibilidad es mínima.
Ithaqua dispone de un sistema doble/simple de encriptación, siendo la primera capa polimórfica-encriptada y la segunda, únicamente encriptada. El virus oculta otros textos como «I’m Ithaqua,… that who walks over the wind, Welcome to my world, adventurer. Follow me. Love. Hate. I’ll be awaiting you on the dark side, watching the nonsense. [Ithaqua] virus by Wintermute/29A».
Deja un comentario