|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Virus: W2K/Joss.A. Experimenta con un nuevo método de infección | ||
|---|---|---|
VSantivirus No. 405 - Año 5 - Viernes 17 de agosto de 2001 Nombre: W2K/Joss.A Tipo: Infector de archivos Alias: Win2K.Joss.A Tamaño: 919 bytes Este virus, reportado por Central Command, ha sido escrito en Assembler, por lo que su tamaño es de tan solo 919 bytes. Debido a sus características, funciona solo en Windows 2000, debido a que hace uso de funciones implementadas en el Kernel de Windows NT 4 y superiores, y probablemente ha sido creado como "prueba de concepto" de un nuevo método de infección. Aprovechándose de su pequeño tamaño, el virus intenta copiarse dentro del archivo infectado, sin aumentar su tamaño. Esta versión infecta solo los archivos .EXE presentes en el directorio actual, que cumplan con la condición de tener espacios libres en su código, capaz de aceptar los 919 bytes del virus. El método de infección empleado, es bastante original. Para infectar los archivos, no utiliza ninguna de las APIs (Application Programming Interface) de Windows. En lugar de ello, envía comandos en forma directa al manejador de los sistemas de archivos, utilizando un método de llamadas al nivel de Ring0, el más cercano al procesador. Windows NT utiliza este método de comandos a nivel de drivers, desde la versión 4.0. En la práctica, esta forma de acceder al nivel de Ring0 se obtiene mediante llamadas a la interrupción 2Eh con ciertos parámetros. Otra técnica original, pocas veces utilizada, para obtener la carpeta actual del proceso que se está ejecutando (que se almacena como una cadena en formato Unicode), es la de examinar una dirección de memoria específica (20290h), cosa que no está documentada. El virus además utiliza métodos para el manejo de las excepciones, de modo que el usuario no detecte su presencia debido a errores inesperados. En caso de producirse uno de estos errores, el virus simplemente le transfiere el control al archivo original. Para infectar sin aumentar el tamaño de su víctima, el virus solo examina la primera sección del archivo PE (Portable Executable) (1). Si existe lugar vacío al final de esta sección, o si hay suficientes bytes de alineación o zonas de datos no inicializadas más adelante (áreas creadas por los compiladores para optimizar el código ejecutable, o para facilitar su optimización, y que generalmente constan de áreas llenas con los valores 90h o CCh), entonces se copia allí, modificando la cabecera del archivo para tomar el control del mismo. Si no se cumplen las condiciones ya dichas, la infección no se produce, sin dar ninguna señal de error. La única manera de despertar sospechas en el usuario, es si el virus se activara en un directorio con muchos ejecutables, debido al intenso uso de los accesos al disco duro durante esta etapa de infección. Este virus ha sido creado por un miembro del conocido grupo de escritores de virus 29A. En su código, puede encontrarse la siguiente información, no visible para el usuario:
|
||
