|
|
El primer virus de dispositivos móviles y de mesa
|
| |
VSantivirus No. 2060 Año 10, martes 28 de febrero de 2006
El primer virus de dispositivos móviles y de mesa
http://www.vsantivirus.com/ev-crossover-mara.htm
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
Según un anuncio realizado por MARA (Mobile Antivirus Researchers Association, una asociación de investigadores de virus de móviles), ya existe un malware capaz de infectar un dispositivo móvil o PDA (Personal Digital Organizer), desde una simple computadora de mesa.
El virus es mencionado con el nombre de "Crossover", por ser el primero capaz de infectar de forma cruzada entre esas dos plataformas. Hasta ahora, los virus de computadoras de bolsillo conocidos (el primer troyano que afectaba estos dispositivos, WinCE/Brador.A, surgió en julio de 2004), solo contagiaban a otro móvil, o a partir de la instalación de un software contaminado.
Crossover puede propagarse desde una computadora con Windows, a un Pocket PC o computadora de bolsillo, que se ejecute bajo Windows Mobile. Se trata de una prueba de concepto (PoC), enviada de forma anónima a MARA, que solo pretende demostrar que este tipo de código es posible, abriendo un frente a lo que desde hace tanto las compañías antivirus y los investigadores han estado alertando: la infección cruzada entre computadoras y dispositivos portátiles.
El virus se ejecuta bajo Windows, Windows CE, y móviles con .NET CF 1.1, y está programado en C# (C Sharp) utilizando Visual Studio .NET 2003.
Un texto que acompaña al ejemplo enviado, afirma que este nuevo concepto de virus tendrá mucho protagonismo en el futuro. Según el mensaje, para que un virus sea cada vez más efectivo, necesita propagarse a través del mayor rango de dispositivos, incluyendo los inalámbricos.
Cuando se ejecuta, Crossover comprueba el sistema operativo instalado. Si no es Windows CE ni Windows Mobile, crea una copia de si mismo en el sistema, e instala un comando de autoejecución en el registro de Windows. Luego queda a la espera de una conexión con ActiveSync, el software de Microsoft creado para sincronizar datos entre las Pocket PCs y los equipos de mesa. Cuando lo detecta, el virus se copia a si mismo en el dispositivo portátil, y luego se ejecuta remotamente en él.
Esta versión del virus tiene un error, y cada vez que la PC se reinicia, el virus se copia en el sistema y se agrega al registro una y otra vez, degradando el rendimiento del
equipo luego de varios reinicios.
Si al ejecutarse detecta Windows CE o Windows Mobile, entonces el virus borra todos los archivos en la carpeta de "Mis documentos" (\My Documents). También se copia en el directorio de Windows y crea un acceso directo en la carpeta de inicio (\Windows\\startup). Cuando el dispositivo se reinicia, el acceso creado ejecuta al virus. Debido al error comentado antes, con múltiples reinicios, también se crearán copias repetidas, y todas ellas intentarán ejecutarse.
Según el autor, este virus "cierra la brecha entre dispositivos portátiles y de mesa", y abre para todos "un gran mundo".
Por el momento, Crossover no ha sido reportado en la calle, y solo se conoce la muestra de laboratorio mencionada.
Más información:
Mobile Antivirus Researchers Association
http://www.mobileav.org
Relacionados:
WCE/Brador.A. Primer troyano de PocketPC
http://www.vsantivirus.com/brador-a.htm
El troyano de Pocket PC ya está "en la calle"
http://www.vsantivirus.com/09-08-04.htm
(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=621
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
