Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Win32.HIV. Nuevas técnicas y constante actualización
 
VSantivirus No. 121 - Año 4 - Lunes 6 de noviembre de 2000

Nombre: Win32.HIV
Tipo: Infector de archivos Win32 y Gusano de Internet

Es un peligroso virus residente en memoria, que infecta archivos ejecutables Win32 (PE EXE) y archivos de instalación de Windows (MSI). Es capaz de actualizarse desde Internet, y tiene capacidades para propagarse vía e-mail.

El virus está encriptado y utiliza una tecnología llamada "Entry Point Obscuring", para esconderse dentro de los archivos infectados. Su tamaño es de aproximadamente 6 Kb, y ocupa hasta 8 Kb una vez en memoria.

Utiliza varias novedosas técnicas para evitar ser examinando (técnicas anti-debugging), y es capaz de congelar la PC si detecta la presencia del SoftICE o cualquier otra herramienta del tipo "debugger" en el sistema (estas herramientas permiten correr un programa o proceso paso a paso y examinar su código).

El virus intenta deshabilitar la protección de archivos de Windows, como el SFC. Para ello actúa sobre archivos responsables de dicha protección. Sobreescribe el archivo DEFAULT.SFC creando uno de cero bytes (en Windows 98), o SFCFILES.DLL (en Windows 2000). Esto sin embargo funciona solo en Windows 98, no bajo Windows 2000, ya que el sistema bloquea el acceso a este DLL, y además es capaz de restaurar el archivo SFCFILES.DLL. En Windows 98, la eliminación del archivo DEFAULT.SFC impide que la herramienta conocida como Comprobador de archivos del sistema (SFC por sus siglas en inglés), actúe.

Para infectar los archivos *.EXE, el virus examina el directorio actual (donde se ejecutó el archivo infectado), y escribe su propio código al final del archivo que infecta.

Para tomar el control, el virus no modifica la dirección de comienzo del código del programa infectado (dato guardado en el cabezal -HEADER- del ejecutable), sino que busca instrucciones estándar de llamadas a rutinas o subrutinas (instrucciones JMP); modifica la dirección de destino para este salto, y la hace apuntar a su código. Luego de que se ejecute el virus, le devuelve el control al programa.

Como resultado de esta técnica (llamada "Entry Point Obscuring"), el virus no siempre se activa al comienzo (cuando se ejecuta el programa infectado), y a veces nunca se activa. El virus no puede saber si la rutina interceptada se va a ejecutar siempre en dicho programa, o solo cuando se cumpla una condición o acción específica por parte del usuario.

Si se ejecuta, el virus queda en memoria como un componente del programa infectado, intercepta las funciones de acceso a los archivos, e infecta a los ejecutables que son llamados por aquél. Es capaz de permanecer activo en memoria hasta que la aplicación infectada es finalizada.

En algunos casos, cuando se ejecuta en computadoras bajo el sistema de archivos NTFS (Windows 2000), el virus crea un "stream" adicional en los archivos infectados: "nombre_de_archivo.ext:HIV", y escribe allí el siguiente texto:

This cell has been infected by HIV virus, generation: 0xNNNNNNNN

donde las "NNNNNNNN" corresponden al número de generación del virus.

Archivos MSI

El virus es capaz de interceptar el acceso a archivos MSI (archivos del Instalador de Windows), abrirlos, buscar por archivos ejecutables PE en ellos, e infectarlos sobreescribiendo la rutina de entrada por un código que despliega el siguiente mensaje cuando estos se ejecuten:

[Win32.HiV] by Benny/29A
This cell has been infected by HIV virus, generation: 0xNNNNNNNN

donde las "NNNNNNNN" corresponden al número de generación del virus.

Archivos HTML

El virus busca archivos *.HTML en el directorio actual, y los reemplaza por archivos XML, agregándoles la extensión .XML, además de un script:

Archivo antes de la infección: NOMBRE.HTML
Archivo después de la infección: NOMBRE.HTML.XML

Los archivos XML son archivos en lenguaje de formato extensible, que incorporan varias funciones y comandos que pueden ejecutarse bajo el Windows Script Host (WSH) de Windows. Pueden modificarse con un simple editor de texto.

El virus esconde los archivos afectados (XML) con un truco: cambia el registro del sistema para impedir que Windows muestre las extensiones XML y además se muestre el icono estándar para archivos HTML. Como resultado, los archivos HTML afectados (ahora XML), son mostrados por el Explorer como HTML. Así que un archivo "NOMBRE.HTML.XML" se mostrará en realidad como "NOMBRE.HTML" y con el icono de los HTML.

El script que es insertado por el virus en los archivos HTML infectados, consigue acceso a Internet y baja de un sitio determinado, un archivo llamado PRESS.TXT (1 Kb).

Pero este no es un archivo de texto, sino un archivo XML que es procesado por el Explorador como una página Web normal (a pesar del hecho que el archivo tiene extensión TXT). Esto hace que se ejecute el script contenido en PRESS.TXT, el cuál descarga el archivo MSXMLP.EXE (12 Kb) del mismo sitio y modifica el registro de Windows para que el mismo se auto ejecute en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HIV = c:\MSXMLP.EXE

El archivo MSXMLP.EXE que se ha detectado hasta ahora, es una aplicación de Windows normal, pero con una nueva versión del virus en él (3/nov/00). De este modo, el autor puede "mejorar" su virus, o instalar un trojan, por ejemplo.

Propagación a través del correo electrónico

El virus abre la libreta de direcciones (Windows Address Book), toma de allí las direcciones a las que envía el siguiente mensaje:

De:  press@microsoft.com
Enviado:  2010/06/06 22:00
Asunto:  XML presentation
Cuerpo del mensaje:
Please check out this XML presentation and send us your opinion.
If you have any questions about XML presentation, write us.
Thank you,
The XML developement team, Microsoft Corp.


Archivo adjunto: PRESS.XML

El archivo PRESS.XML adjunto es el mismo script XML que es usado por el virus al infectar los archivos HTML. Cuando el usuario abre el archivo PRESS.XML, una copia del virus es descargada a la computadora y se modifica el registro. El virus guarda el archivo PRESS.XML en el directorio raíz de C: como: C:\PRESS.XML.

Cuando envía los mensajes, el virus usa las librerías MAPI de Windows, por lo que no depende del programa de correo instalado en el sistema.

Recomendaciones

Al ser un virus que puede actualizarse vía Internet, las características aquí descriptas, pueden variar en el futuro, por lo que las reglas básicas de no abrir archivos adjuntos debe ser tomada muy en cuenta.

Si desactiva el Windows Script Host (WSH) de su sistema, algunas características del virus no podrán funcionar, haciéndolo inofensivo.

Vea en nuestro sitio: "Deshabilitar el Windows Scripting Host en nuestro PC".

Comentario

El examen realizado en la noche del domingo 5 de noviembre con las últimas versiones de antivirus disponibles en nuestro sitio, arrojaron como resultado que solo dos antivirus detectaron la presencia del Win32.HIV:

Norton NAVC Scan (Actualizado al 5/nov/00)

K:\HIV\HIV.EXE is infected with the W32.Press.Gen virus.
K:\HIV\MSXMLP.EXE is infected with the W32.Press.Gen virus.

AVP (Actualizado al 5/nov/00)

K:\HIV\HIV.EXE warning: Win32.HIV.6386
K:\HIV\PRESS.TXT infected: Win32.HIV
K:\HIV\MSXMLP.EXE warning: Win32.HIV.6386

Análisis basado en descripción de Kaspersky Lab (AVP) y examen del código obtenido.


Ver también:
23/dic/00 - W32/Press (Win32.HIV). ¿Moda de virus auto-actualizables?

 

Copyright 1996-2000 Video Soft BBS