Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W95/CIH. Descripción del virus y algunas herramientas
 
VSantivirus No. 287 - Año 5 - Sábado 21 de abril de 2001

W95/CIH. Descripción del virus y algunas herramientas
http://www.vsantivirus.com/cih-descr.htm

Nombre: W95/CIH
Tipo: Infector de ejecutables Win32
Alias: PE_CIH, CIH, Chernobyl, Win95.CIH, Win32.CIH, W95.CIH V1.2, W95.CIH V1.3, W95.CIH V1.4
Nombres comunes: CIH, Spacefiller, Chernobyl, Tsernobyl, Tshernobyl
Fecha: 2/jun/98
Origen: Taiwan
Plataforma: Windows 95, 98, Me

Una de las peores características del CIH, es que ataca la BIOS de la computadora infectada, en el momento que el reloj de ésta coincide con el 26 de abril de cualquier año. Pero existen otras versiones, que actúan en otros momentos. Sin embargo, la que se activa el 26 de abril, es la que más daño a causado desde su descubrimiento.

El virus se propaga en entornos Windows 95, 98 y ME, y no afecta a Windows NT o 2000, aunque si puede propagarse en estos sistemas.

El CIH, infecta sólo archivos .EXE (PE, Portable Executable de Win32), buscando espacios vacíos en el cuerpo del archivo. Si encuentra un hueco de un tamaño suficiente, escribirá en él su código completo. Estos huecos son normales en la estructura de los archivos PE. En caso de no encontrar el espacio necesario, el virus es capaz de dividirse en varias partes, usando diferentes agujeros en el archivo, hasta completar todo el código.

Luego, modificará el cabezal del archivo, para ubicar un código de unos 184 bytes, el que incluye su rutina de arranque, la que apuntará al código principal del virus. A su vez, cambia la dirección de comienzo del archivo, para que apunte a dicha rutina.

Cuando se ejecuta un archivo o programa infectado, el virus se ejecuta primero y luego pasa el control al programa original. Cuando el virus tiene el control, lo aprovecha para replicarse en otro archivo, y así sucesivamente. Para infectar otros ejecutables, utiliza las funciones IFS (Installable File System) y API (Application Program Interface), para interceptar la apertura de los archivos.

El virus puede saltar del ring3 (la capa de software por la que se ejecutan los programas, incluidos los propios antivirus), al ring0, el nivel más cercano al procesador, y donde se ejecuta el Kernel, el corazón de Windows. Desde allí intercepta todas las llamadas al sistema para el acceso a los archivos, realizando sus propias llamadas a los puertos del Flash BIOS y para el acceso al disco, evitando así el control de Windows.

El virus intercepta solo la apertura de archivos. Cuando un .EXE es abierto por el sistema, el virus lo infecta, siempre que contenga huecos suficientes y en seguida verifica la fecha del sistema para decidir si debe activar sus rutinas destructivas.

El tamaño del código del virus, es apenas mayor a 1 Kb, y como sobrescribe su código en el cuerpo de los archivos infectados, no aumenta el tamaño de estos.

Cuando el archivo infectado se ejecuta, el virus se instala en memoria y se propaga a todos los demás programas.

El virus posee algunos errores de programación que en ocasiones, causan bloqueos de la computadora cuando se ejecutan los programas infectados.

La rutina destructiva utilizada para borrar el disco duro, sobrescribe una parte importante del disco con ceros, haciendo muy difícil su recuperación.

La memoria Flash Bios es sobrescrita con código basura, lo que impide el inicio de la computadora.

Daño causado por el virus

Sobreescribe, rellenando con ceros, los datos guardados en el disco duro. Utiliza para ello rutinas de acceso directo. La única alternativa para recuperar la información, puede ser a través de respaldos anteriores, si se disponen de estos.

Destruye tanto los datos (archivos), como el MBR (Master Boot Record) y el sector de arranque (BOOT) del sistema operativo. Prácticamente todas las variantes de este virus son capaces de borrar los primeros 2048 sectores del disco duro, lo que equivale a un mega aproximadamente. El resultado es casi similar a un formateo, y lo realiza eludiendo las protecciones antivirus del BIOS, y evitando el inicio del sistema. Como consecuencia de esto, al intentar reiniciar un sistema afectado, se despliega este mensaje:

DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER

Note que el mensaje aparece solo si la siguiente acción destructiva (sobre el BIOS), no se cumplió aún.

También intenta sobrescribir el BIOS (Basic Input/Output System) de la máquina con basura. Aunque esto ocurre solo si es un BIOS del tipo Flash (regrabable), actualmente todos los motherboards poseen este tipo de chip. Aunque algunos mothers poseen un jumper para evitar su grabación, la mayoría lo traen habilitado por defecto, y los usuarios suelen desconocer su ubicación. Si el CIH logra su objetivo, la computadora no se iniciará, hasta que se cambie la placa madre o se vuelva a programar el Flash BIOS. 

Cómo el BIOS controla todo el hardware, una vez dañado no hay forma que el usuario por sus medios pueda restaurarlo, ya que no funcionará ni el teclado, ni el video, ni la disquetera.

La solución es enviar la motherboard al fabricante o a un servicio técnico especializado en la programación de EEPROMs, lo que significa costos de mano de obra y fletes que, sumados, generalmente resultan superiores al costo de una nueva placa.

Además, ya no se fabrican placas para procesadores Pentium MMX o anteriores, lo que significa el cambio de otros elementos (procesador, y memoria en muchos casos), para seguir usando la misma computadora.

El reemplazo físico del chip del BIOS tampoco es una solución que se pueda aplicar fácilmente, además de que estos chips no se consiguen en el mercado.

El KILL_CIH

La herramienta KILL_CIH de Symantec es gratuita, y está diseñada para descubrir y eliminar en forma segura todas las versiones conocidas del virus W95.CIH de la memoria, bajo Windows 95 o Windows 98. Si esta herramienta se ejecuta ANTES de que el virus haya infectado el sistema, también inoculará la memoria de su computadora previniendo que el virus W95.CIH pueda infectar su sistema, hasta el próximo reinicio del mismo.

Si usted ya se ha infectado con el virus W95.CIH, debe ejecutar el KILL_CIH, *ANTES* de intentar poner al día sus definiciones de anti-virus o de escanear su sistema con cualquier antivirus. Si usted intenta escanear con cualquier anti-virus, antes de ejecutar esta herramienta, correrá el riesgo de causar que la infección se extienda, debido a las características del W95.CIH.

KILL_CIH no descubre o quita el W95.CIH virus de los archivos, para ello deberá usar cualquier antivirus actualizado (podrá encontrar y bajar versiones de evaluación de la mayoría de ellos desde http://www.vsantivirus.com, incluido el KILL_CIH); KILL_CIH solo desactiva el virus en memoria para que un programa anti-virus pueda desinfectar su computadora sin que inadvertidamente el virus pueda extenderse al realizar esta acción.

Consideraciones finales

Si no lo hizo, baje el KILL_CIH (Norton) y córralo en su PC. Luego ejecute al menos dos antivirus actualizados para revisar todo su PC (AVP, Dr. Web, F-Prot, etc.). Si el KILL_CIH no encontró activo el virus, esto puede descubrirlo en algún archivo. Y si lo hizo, cualquiera de estos antivirus lo eliminará de su sistema. Pero como además podría estar oculto (no haberse ejecutado aún), es buena idea aproveche para revisar todos sus discos duros, CDs, disquetes, etc. Y por supuesto, no ejecute ni instale nada nuevo sin revisarlo antes.

Y si a pesar de todo, su PC se ve atacada por el CIH, y su mother se ha salvado, tal vez su disco duro no haya corrido la misma suerte. Para intentar recuperar la información allí guardada, le recomendamos herramientas como FIX-CIH (Release #6.1 del 31/may/99), que recupera el MBR y los datos de discos afectados por el CIH en FAT32. Esta utilidad es capaz de recuperar múltiples particiones dañadas por el virus. Corra FIX-CIH desde un disquete de inicio. Recuerde luego pasar un antivirus DESDE el disquete de arranque, ya que al recuperar el disco duro, volverá al estado anterior (infectado con CIH). FIX-CIH no cura ni borra el virus CIH. FIX-CIH solo recupera discos duros borrados por el CIH. Puede bajarlo, junto con el KILL_CIH de nuestro sitio http://www.vsantivirus.com del área "Otro software".


Más información

VSantivirus No. 102 - 07/abr/00
El W95.CIH a fondo
http://www.vsantivirus.com/cih.htm

VSantivirus No. 665 - 3/may/02
W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm

VSantivirus No. 875 - 29/nov/02
W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm

VSantivirus No. 665 - 3/may/02
¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm

VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS