Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
W32/Cervan.6256. Infecta ejecutables en segundo plano
|
|
VSantivirus No. 886 - Año 7 - Martes 10 de diciembre de 2002
W32/Cervan.6256. Infecta ejecutables en segundo plano
http://www.vsantivirus.com/cervan-6256.htm
Nombre: W32/Cervan.6256
Tipo: Virus
Alias: W32.Cervan.6256
Fecha: 1/dic/02
Plataforma: Windows 32-bits
Tamaño: 6256 bytes
Este virus infecta archivos PE (Portable Executable) de Windows. Es polimórfico y utiliza la técnica denominada "Entry-Point Obscuring" para su infección.
Debido al uso de esta técnica, su código actual presenta varios errores que hacen que no funcione correctamente en algunas ocasiones.
La tecnología "Entry-Point Obscuring" (EPO), consiste en forma básica en no modificar la dirección de inicio del programa infectado (normalmente, un virus modifica esta entrada para poder ejecutarse primero él). En su lugar busca instrucciones estándar de llamadas a rutinas o subrutinas (instrucciones JMP en assembler); modifica la dirección de destino para este salto, creando su propia tabla de funciones con "LoadLibrary" y "GetProcAddress" para ejecutarse cuando una función importada es llamada, y la hace apuntar a su código. Luego de que se ejecute el virus, le devuelve el control al programa.
Como resultado de esta técnica el virus no siempre se activa al comienzo (cuando se ejecuta el programa infectado), y en contadas ocasiones nunca se activa. El virus no puede saber si la rutina interceptada se va a ejecutar siempre en dicho programa, o solo cuando se cumpla una condición o acción específica por parte del usuario.
En concreto, el virus no se ejecuta directamente cuando un archivo infectado es ejecutado.
El virus además es polimórfico, y se encripta a si mismo de diferentes maneras cada vez que infecta un archivo. La rutina de desencriptación es extremadamente larga porque contiene muchas instrucciones que no hacen absolutamente nada. Esto ocasiona que tome de un millón a tres millones de instrucciones (en assembler) el desencriptar el cuerpo del virus. Esto en ocasiones causa un enlentecimiento en la ejecución de archivos en el sistema infectado.
Después que el virus se desencripta, primero extrae las direcciones de funciones normalmente utilizadas y presentes en cinco archivos DLL diferentes, y las almacena en una tabla para su uso posterior.
Luego, intenta asignarse cerca de 6 KB de memoria para su uso. Sin embargo como la memoria en Windows está disponible en páginas de 4 KB cada una, se asigna 8 KB. Luego, el gusano mueve todo su código a dicha área de memoria y continúa su ejecución desde allí.
El virus es además "multithread", o sea puede crear diferentes hilos de ejecución (threads) de si mismo. Para ello crea un objeto que controla en este caso un segundo hilo de ejecución. Luego de crear el objeto de control, ejecuta el segundo thread. Sin embargo, un error en su código hace que dicho mecanismo de control no funcione como debe, y como consecuencia el segundo hilo en ocasiones queda congelado.
El hilo principal importa todos los API (Application Program Interface), el conjunto de rutinas que el programa original --el infectado-- utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo.
Debido a que el virus es llamado cuando el programa original intenta llamar un API, el propio virus debe llamar este API por si mismo, o el programa infectado no funcionaría al devolverle el control.
Si el segundo hilo se ejecuta, el virus lo usa para infectar otros archivos. Dicho de otra manera, mientras un programa se está ejecutando, el virus puede estar infectando otros archivos en segundo plano.
Ello ocurre cada vez que un archivo es abierto por el programa original. Por ejemplo, cuando un programa es infectado, el virus infecta todos los archivos en formato PE que el primer programa pueda abrir durante su ejecución. Si el programa infectado no abre otros programas, el virus no infectará otros archivos.
El virus infecta modificando la tabla de importaciones de manera que todas las llamadas a funciones originales del sistema apunten a su rutina desencriptadora, antes de ser devuelta a la rutina propiamente dicha.
Otros virus que utilizan la técnica "Entry-Point Obscuring"
Win32.HIV. Nuevas técnicas y constante actualización
http://www.vsantivirus.com/hiv.htm
W32/Press (Win32.HIV). ¿Moda de virus auto-actualizables?
http://www.vsantivirus.com/press.htm
W32/Simile (Etap). Un virus de difícil detección
http://www.vsantivirus.com/simile.htm
W32/Simile.D, Linux/Simile.D. Infecta Linux y Windows
http://www.vsantivirus.com/simile-d.htm
Babylonia. El primer virus capaz de auto actualizarse
http://www.vsantivirus.com/babylonia.htm
W32/Fosforo.A/B. 12 de julio bloquea todos los programas
http://www.vsantivirus.com/fosforo.htm
Virus: Win32.Idele. Infecta todos los ejecutables
http://www.vsantivirus.com/idele.htm
Glosario:
PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|