Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
 
VSantivirus No. 875 - Año 7 - Viernes 29 de noviembre de 2002

W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm

Nombre: W95/CIH.1106.A
Tipo: Infector de ejecutables Win32
Alias: Chernobyl Family, CIH.1106, W32/CIH.1106.A, W32.CIH.1106, Win95.CIH.1106, Win95/CIH.1106.B, PE_CIH.1106
Nombres comunes: CIH, Spacefiller, Chernobyl, Tsernobyl, Tshernobyl
Fecha: 28/nov/02
Tamaño: 1106 bytes
Plataforma: Windows 95, 98, Me

Se trata de una nueva variante del W95/CIH original (junio de 1998), cuya principal diferencia, es la activación de sus rutinas destructivas los días 2 de cualquier mes.

Las versiones originales poseen varias fechas de activación, siendo las más conocidas y propagadas aquellas que se activan el 26 de abril. En menor grado lo son las que se activan el 19 de mayo, 26 de junio, o incluso (aunque mucho menos extendida) el día 26 de cada mes.

El CIH infecta ejecutables de 32-bit (Win32), bajo Windows 95, 98 y Me. Y aunque bajo Windows NT, 2000 o XP no puede infectar, si pueden infectarse archivos en un servidor bajo NT, 2000 o XP desde una máquina corriendo Windows 95, 98 o Me. Tampoco funciona bajo DOS, Windows 3.x u otras computadoras, como Macintosh por ejemplo.

Existen posibilidades que cualquier ejecutable infectado por este virus sea transportado por virus como el Klez. El Klez es un gusano que tiene la habilidad de enviar en forma aleatoria, archivos de un sistema infectado a otros, además de si mismo. La posibilidad de que transporte también a este tipo de virus, según muchos expertos es algo mucho más probable de lo que se piensa.

Por otra parte, el CIH puede infectar al propio Klez, o al Elkern, el virus que transporta aquél (después de todo solo son ejecutables). De este modo, el Klez pasa a tener una doble peligrosidad, la suya propia y la del CIH.

Cuando un programa infectado con el CIH es ejecutado, el virus queda residente en memoria, e infecta cualquier otro ejecutable Win32 que es accedido (para leerlo, ejecutarlo, copiarlo, etc.).

Los archivos infectados por el CIH no aumentan su tamaño, el código del virus busca espacios vacíos dentro del ejecutable que infecta, y se copia a él en tantos trozos pequeños como sean necesarios.

La primera rutina que se activa todos los días 2 de cada mes, sobrescribe un área del disco duro con basura (bytes al azar), comenzando en el sector cero, lo que impide el acceso a cualquier archivo en el disco, e incluso la posibilidad de bootear desde él, o desde un disquete.

Por otra parte, los datos que han sido cambiados por basura, son muy difíciles (por no decir imposible) de recuperar. Existen herramientas que permiten intentar hacerlo.

La segunda rutina que se activa ese mismo día ataca al Flash BIOS, chip donde se guarda en una memoria regrabable, el software que inicializa y maneja las configuraciones de los dispositivos del sistema, incluso la unidad de disco duro, los puertos serie y paralelo y el teclado. Borrando parte de este programa del BIOS, el virus impide que la computadora pueda iniciarse correctamente al encenderla.

Cómo el BIOS controla todo el hardware, una vez dañado no hay forma que el usuario por sus medios pueda restaurarlo, ya que no funcionará ni el teclado, ni el video, ni la disquetera.

La solución es enviar la placa madre al fabricante o a un servicio técnico especializado en la programación de EEPROMs, lo que significa costos de mano de obra y fletes que, sumados, generalmente resultan superiores al costo de una nueva placa.

Además, ya no se fabrican placas para algunos procesadores, lo que puede significar también el cambio de otros elementos (procesador, y memoria en muchos casos), para seguir usando la misma computadora.

El reemplazo físico del chip del BIOS tampoco es una solución que se pueda aplicar fácilmente, además de que estos chips no se consiguen en el mercado.


Reparación manual


Para limpiar un sistema infectado con el CIH, utilice un antivirus en modo DOS. Se sugiere F-Prot, iniciándolo desde disquetes como se explica en este artículo:

Cómo ejecutar F-PROT en un disquete
http://www.vsantivirus.com/fprot-disq.htm

Reinicie luego su PC en modo normal y vuelva a realizar un escaneo con sus antivirus para Windows.

Para más detalles de la limpieza de este virus, refiérase a los siguientes artículos:

W95/CIH. Descripción del virus y algunas herramientas
http://www.vsantivirus.com/cih-descr.htm

El W95.CIH a fondo
http://www.vsantivirus.com/cih.htm


Notas


a. Cuando decimos usar más de un antivirus debemos tener en cuenta dos cosas. Una, que JAMAS debemos tener más de uno monitoreando en segundo plano. Solo usamos más de uno para una revisación (escaneo) normal por demanda (uno a la vez). Y segundo, que debemos desactivar momentáneamente todo proceso de monitoreo en segundo plano cada vez que procedemos a escanear un equipo. En todos los casos, si su PC está conectado a una red, desconéctelo físicamente de la misma hasta haber realizado el proceso de escaneo en todas las máquinas.

b. Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 287 - 21/abr/01
W95/CIH. Descripción del virus y algunas herramientas
http://www.vsantivirus.com/cih-descr.htm

VSantivirus No. 102 - 07/abr/00
El W95.CIH a fondo
http://www.vsantivirus.com/cih.htm

VSantivirus No. 665 - 3/may/02
W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm

VSantivirus No. 665 - 3/may/02
¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm

VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS