«Infis» es el primer virus que actúa como un controlador del sistema
de Windows NT. Esto lo hace muy dificil de detectar y eliminar de
memoria. Bautizado como WinNT.Infis, os invitamos a conocer con
detalle este nuevo virus de la mano de sus descubridores.
Características Generales
«Infis» es un virus de archivo residente en memoria que es operativo
bajo Windows NT 4.0 con los Service Packs 2, 3, 4, 5, 6 instalados.
No afecta a los sistemas bajo Windows 95/98, Windows 2000 u otras
versiones de Windows NT.
Indicadores de la infección
El principal indicador de la infección es la imposibilidad de ejecutar
algunos programas como MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE etc. debido
a que un error de programación en el virus daña su codificación. Otro
indicador es la presencia del archivo INF.SYS en la carpeta
/WinNT/System32/Drivers.
Instalación
Al ejecutar un archivo infectado el virus se copia en el archivo
INF.SYS de la carpeta de controladores WinNT\System32\Drivers. Crea
entonces una clave con tres secciones en el registro del sistema
Windows:
\Registry\Machine\System\CurrentControlSet\Services\inf
Type = 1 – standard Windows NT driver
Start = 2 – driver start mode
ErrorControl = 1 – continue system loading on error in driver
Como resultado de ello, el archivo INF.SYS se activa cada vez que
arranca el sistema ejecutando una subrutina que infecta la memoria de
Windows NT. Al completar su instalación en memoria toma el control de
funciones internas de Windows no documentadas. El virus intercepta la
apertura de archivos, comprueba los nombres de archivo y su formato
interno, entonces llama a la rutina de infección.
Infección
El virus «Infis» infecta solo archivos EXE PE (Portable Executable)
excepto CMD.EXE (Windows NT command processor). Al infectar incrementa
la longitud del archivo solo con su código (4608 bytes). El virus evita
repetir la infección del archivo, reconoce los archivos infectados
mediante el cambio de la fecha y hora al valor 1 (FFFFFFFFh).
Carga dañina
El virus «Infis» no posee carga dañina pero debido a errores en su
programación puede dañar algunos archivos infectados. En este caso su
ejecución produce un error de aplicación de Windows NT.
Más información:
AVPVE
Deja una respuesta