Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: PE.Begemot.A. Borra antivirus y se activa el 2 de enero
 
VSantivirus No. 171 - Año 4 - Martes 26 de diciembre de 2000

Nombre: PE.Begemot.A
Tipo: Infector de archivos PE
Alias: Win95.Begemot, Begemot.A, PE_Begemot.A-O
Tamaño: 8,192 bytes

Se trata de un virus residente en memoria, polimórfico, de apenas 8 Kb, que una vez instalado es capaz de infectar todos los archivos con formato PE (Portable Executable) de Windows, incluyendo ejecutables (EXE), y salvadores de pantalla (SCR), que sean accedidos por el sistema. También infecta archivos comprimidos con la utilidad RAR, agregando un archivo infectado (BEER.EXE) dentro de los mismos.

Puede afectar archivos con estas extensiones:

EXE
SCR
RAR
SFX
CPL
DAT
BAK

El virus usa llamadas al sistema, que solo funcionan en Windows 95/98, no pudiéndose extender bajo Windows NT.

Posee algunos fallos, y ocasiona congelamientos del sistema en algunas ocasiones.

Utiliza algunas rutinas fuera de lo común en su código. Por ejemplo, guarda su código encriptado y comprimido en los archivos infectados, y lo descomprime al instalarse en memoria.

Es capaz de comunicarse con un módulo externo que lo puede controlar desde una interface tipo consola. Desde esta consola por ejemplo, se puede habilitar o deshabilitar las rutinas de infección.

Utiliza ingeniosos métodos para saltar de ring3 a ring0, etc. Usando estas habilidades, el virus puede deshabilitar la parte residente de algunos antivirus.

El día 2 de enero de cualquier año, borra archivos de datos de algunos antivirus y despliega un mensaje.

Cuando se ejecuta por primera vez, el virus desencripta su propio código, se instala en memoria y se engancha (hook) a las funciones de archivo del sistema.

Como consecuencia de ello, el virus será activado con cada subsecuente acceso y ejecución de archivos por parte de Windows.

Para infectar un archivo, el virus inserta su código en la última sección de este. Cuando el archivo infectado se ejecuta, el virus modifica el punto de entrada (entry point) del mismo, y toma el control del archivo que le sirve de host.

Para evitar volver a infectar un mismo archivo, busca en él su firma identificatoria.

Si un archivo .RAR es accedido, el virus agrega el ejecutable "BEER.EXE" en él.

También es capaz de borrar archivos de algunos antivirus en ese punto.

Si la fecha actual es 2 de enero (de cualquier año), se muestra una ventana de mensajes con el siguiente texto:

Wait a minute, Micro$h!t is everywhere u want to be... Please call Micro$h!t on-line help, if u have any problems. Don't u have a telephone? So call your system supervisor. R u supervisor? So call Micro$h!t on-line help... Ehrm, well... where do u want to go y3st3rday? PS: Your problem ain't virus. Micro$h!t didn't certified this hardware, buy a new one... Press OK button to solve this problem by Micro$h!t... 

El virus también borra estos archivos, pertenecientes a varios antivirus, como AVP, Dr. Web, etc.:

ANTI-VIR.DAT
AVG.AVI
AVP.CRC
DRWEBASE.VDB
NOD32.000

Es capaz de deshabilitar el monitoreo de algunos antivirus, incluyendo los siguientes:

AVP Monitor
Amon Antivirus Monitor

El código principal, contiene el siguiente texto, que no es mostrado:

Virus Win98.BeGemot by Benny/29A

Fuente: Kaspersky Antivirus, Trend Micro

 

Copyright 1996-2000 Video Soft BBS