| |
VSantivirus No. 958 - Año 7 - Jueves 20 de febrero de 2003
W32/Dupator. Residente en memoria, modifica el Kernel32
http://www.vsantivirus.com/dupator.htm
Nombre: W32/Dupator
Tipo: Virus infector
Alias: W32.Dupator, Win95.Dupator, W32/Dupator.1503
Tamaño: 1,503 bytes
Fecha: 29/nov/99
Variantes: ago/2002, feb/2003
Se han detectado nuevas infecciones con el virus W32/Dupator. Todas las versiones conocidas de este virus realizan las mismas acciones. Las versiones más nuevas, suelen venir en archivos infectados con otro virus, el W32/Opasoft (u Opaserv), aprovechándose de su modo de propagación a través de los puertos Netbios (Archivos y carpetas compartidos).
Se trata de un virus que una vez activo, permanece residente en memoria, infectando archivos ejecutables en formato .EXE Portable Executable de Win32 (El formato PE (Portable Executable), recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits).
Los archivos infectados aumentan su tamaño en 2,000 bytes aproximadamente, y todos contienen el siguiente texto:
DUPATOR!
Ese es además, el nombre de una nueva sección de código que adquiere el archivo infectado (o sea, el código del propio virus), copiada en el cabezal del archivo PE.
Generalmente, cuando el virus está en memoria, puede detectarse una caída en el rendimiento global del sistema.
El mecanismo de infección es el siguiente:
1. Cuando se ejecuta por primera vez o cuando lo hace un archivo infectado, el virus queda residente en memoria.
2. Si no ha ocurrido aún, el virus hace una copia del archivo del sistema "Kernel32.DLL" (el Componente del núcleo del kernel Win32):
Copia "c:\windows\system\kernel32.dll" en "c:\windows\kernel32.dll"
Cuando "kernel32.dll" está protegido contra escritura, el virus utiliza un truco estándar para actualizarlo luego de reiniciar (mediante el archivo wininit.ini).
3. Modifica la copia recién creada en "c:\windows\kernel32.dll". Hace esto, posiblemente para eludir las restricciones para modificar el "verdadero" Kernel32.dll que instala Windows en la carpeta System. Esta librería es prácticamente el corazón del sistema operativo.
4. La única modificación en el archivo Kernel32 que hace el virus, consiste en alterar la tabla de exportación de la función API "GetFileAttributesA". De ese modo, cada vez que el sistema llame un archivo cualquiera, dicha función es requerida, y la acción será interceptada por el virus. Éste no necesita ninguna rutina particular para quedar residente en memoria e infectar a todos los archivos de formato PE EXE que sean usados por Windows.
5. Cuando Windows se reinicie, el archivo "Kernel32.dll" es uno de los primeros en cargarse. Al existir un "Kernel32.dll" en "C:\Windows", el sistema carga a éste (que vimos, está infectado), en lugar del original, en "C:\Windows\System". Esto se debe a una conocida vulnerabilidad que afecta el orden de preferencias para ejecutarse.
Cuando en modo comando escribimos el nombre de un ejecutable cualquiera (solo el nombre) y damos Enter, el sistema busca ese ejecutable en todos los directorios indicados en la variable PATH, pero primero examina el directorio actual. Obviamente en este caso, al ser por defecto el directorio "C:\Windows" el actual, se ejecuta el archivo allí presente antes que el ubicado en otra carpeta.
6. La rutina de infección solo ocurre cuando el archivo "Kernel32.dll" modificado, queda en memoria (esto ocurre recién, luego del primer reinicio de la computadora).
Para quitar manualmente este virus, deberá reiniciar preferentemente desde disquete de inicio, ejecutar un antivirus como F-Prot (ver
http://www.vsantivirus.com/fprot-disq.htm), y borrar la copia de Kernel32.dll de C:\Windows (la verdadera se encuentra en C:\Windows System, y normalmente no ha sido infectada).
Para limpiar su PC
Es necesario iniciar su PC desde un disquete, y proceder a la limpieza del mismo con un antivirus como el F-Prot, tal como se indica en nuestro sitio:
VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm
Luego borre el siguiente archivo (antes de reiniciar de nuevo la computadora):
DEL c:\windows\kernel32.dll
Nota: En algunos casos, también deberá recuperar desde un respaldo, el archivo "c:\windows\system\kernel32.dll".
También puede hacerlo como se explica aquí:
Cómo Recuperar archivos con SFC en Windows 98 y Me
http://www.vsantivirus.com/faq-sfc.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
