Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
|
|
VSantivirus No. 665 - Año 6 - Viernes 3 de mayo de 2002
W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm
Nombre: W95/CIH.1049
Tipo: Infector de ejecutables Win32
Alias: W95.CIH.1049, Bloodhound.W32.EP, Win95.CIH.1049, Win95/CIH.1003.B, PE_CIH.1049
Nombres comunes: CIH, Spacefiller, Chernobyl, Tsernobyl, Tshernobyl
Fecha: 30/abr/02
Tamaño: 1049 bytes
Plataforma: Windows 95, 98, Me
Se trata de una nueva variante del W95/CIH original (junio de 1998), cuya principal diferencia, es la activación de sus rutinas destructivas cada 2 de agosto.
Las versiones originales poseen varias fechas de activación, siendo las más conocidas y propagadas aquellas que se activan el 26 de abril. En menor grado lo son las que se activan el 19 de mayo, 26 de junio, o incluso (aunque mucho menos extendida) el día 26 de cada mes.
El CIH infecta ejecutables de 32-bit (Win32), bajo Windows 95, 98 y Me. Y aunque bajo Windows NT, 2000 o XP no puede infectar, si pueden infectarse archivos en un servidor bajo NT, 2000 o XP desde una máquina corriendo Windows 95, 98 o Me. Tampoco funciona bajo DOS, Windows 3.x u otras computadoras, como Macintosh por ejemplo.
Existen posibilidades que cualquier ejecutable infectado por este virus sea transportado por virus como el Klez. El Klez es un gusano que tiene la habilidad de enviar en forma aleatoria, archivos de un sistema infectado a otros, además de si mismo. La posibilidad de que transporte también a este tipo de virus, según muchos expertos es algo mucho más probable de lo que se piensa.
Por otra parte, el CIH puede infectar al propio Klez, o al Elkern, el virus que transporta aquél (después de todo solo son ejecutables). De este modo, el Klez pasa a tener una doble peligrosidad, la suya propia y la del CIH.
Cuando un programa infectado con el CIH es ejecutado, el virus queda residente en memoria, e infecta cualquier otro ejecutable Win32 que es accedido (para leerlo, ejecutarlo, copiarlo, etc.).
Los archivos infectados por el CIH no aumentan su tamaño, el código del virus busca espacios vacíos dentro del ejecutable que infecta, y se copia a él en tantos trozos pequeños como sean necesarios.
La primera rutina que se activa cada 2 de agosto, sobrescribe un área del disco duro con basura (bytes al azar), comenzando en el sector cero, lo que impide el acceso a cualquier archivo en el disco, e incluso la posibilidad de bootear desde él, o desde un disquete.
Por otra parte, los datos que han sido cambiados por basura, son muy difíciles (por no decir imposible) de recuperar. Existen herramientas que permiten intentar hacerlo.
La segunda rutina que se activa ese mismo día ataca al Flash BIOS, chip donde se guarda en una memoria regrabable, el software que inicializa y maneja las configuraciones de los dispositivos del sistema, incluso la unidad de disco duro, los puertos serie y paralelo y el teclado. Borrando parte de este programa del BIOS, el virus impide que la computadora pueda iniciarse correctamente al encenderla.
Cómo el BIOS controla todo el hardware, una vez dañado no hay forma que el usuario por sus medios pueda restaurarlo, ya que no funcionará ni el teclado, ni el video, ni la disquetera.
La solución es enviar la placa madre al fabricante o a un servicio técnico especializado en la programación de EEPROMs, lo que significa costos de mano de obra y fletes que, sumados, generalmente resultan superiores al costo de una nueva placa.
Además, ya no se fabrican placas para algunos procesadores, lo que puede significar también el cambio de otros elementos (procesador, y memoria en muchos casos), para seguir usando la misma computadora.
El reemplazo físico del chip del BIOS tampoco es una solución que se pueda aplicar fácilmente, además de que estos chips no se consiguen en el mercado.
Reparación manual
Para limpiar un sistema infectado con el CIH, utilice un antivirus en modo DOS. Se sugiere F-Prot, iniciándolo desde disquetes como se explica en este artículo:
Cómo ejecutar F-PROT en un disquete
http://www.vsantivirus.com/fprot-disq.htm
Reinicie luego su PC en modo normal y vuelva a realizar un escaneo con sus antivirus para Windows.
Notas
a. Cuando decimos usar más de un antivirus debemos tener en cuenta dos cosas. Una, que JAMAS debemos tener más de uno monitoreando en segundo plano. Solo usamos más de uno para una revisación (escaneo) normal por demanda (uno a la vez). Y segundo, que debemos desactivar momentáneamente todo proceso de monitoreo en segundo plano cada vez que procedemos a escanear un equipo. En todos los casos, si su PC está conectado a una red, desconéctelo físicamente de la misma hasta haber realizado el proceso de escaneo en todas las máquinas.
b. Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Más información
VSantivirus No. 287 - 21/abr/01
W95/CIH. Descripción del virus y algunas herramientas
http://www.vsantivirus.com/cih-descr.htm
VSantivirus No. 102 - 07/abr/00
El W95.CIH a fondo
http://www.vsantivirus.com/cih.htm
VSantivirus No. 875 - 29/nov/02
W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm
VSantivirus No. 665 - 3/may/02
¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm
VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|