|
VSantivirus No. 249 - Año 5 - Miércoles 14 de marzo de 2001
Actualización: VSantivirus No. 250 - Año 5 - Jueves 15 de marzo de 2001
En nuestro boletín #249 anunciábamos y describíamos este peligroso virus. Este es un examen más minucioso y ampliado, que revela todas las sofisticadas y destructivas acciones que puede llevar a cabo este virus, que afecta a todas las variantes de Windows, y que es capaz de borrar el disco duro, y la CMOS, obligando incluso, bajo ciertas circunstancias, a requerir el cambio del motherboard de la máquina infectada para solucionar el daño causado.
Nombre: W32/Magistr@MM
Tipo: Virus infector de archivos PE, y Gusano de Internet
Fecha: 12/mar/01
Actualización: 14/mar/01
Origen: Suecia
Tamaño: 25,600 bytes
Activo: Si
Alias: I-Worm.Magistr, PE_MAGISTR.A, W32.Magistr, W32.Levi.3205, W98.Levi.3205, MAGISTR.A, MAGISTR, TROJ_ARF_JUDGE.A, JUDGE.A, ARF_JUDGE, W32.Magistr.24876,
W32/Disemboweler
Se trata de un gusano capaz de enviarse masivamente a través del correo electrónico (usando rutinas SMTP propias), además de infectar archivos, y
destruir la CMOS y la Flash BIOS, e incluso la información del disco
duro.
Su código está encriptado, y luego de llegar a nuestro PC, modifica el registro para poder ejecutarse en cada reinicio de Windows.
Básicamente, es un virus residente en memoria, polimórfico, con características
muy similares al MTX.A, que utiliza complejas rutinas y técnicas anti-debugging, que hacen muy difícil su análisis. Es una modificación del
W32.Kriz (ver VSantivirus No. 165 - Año 4 - Miércoles 20 diciembre de 2000,
W32.Kriz. Un peligroso regalo de Navidad), capaz de modificar la memoria flash BIOS de la computadora. Esto impide el inicio de la misma, y requiere generalmente un cambio del mother para recuperar el uso de la PC.
Al mes y un día después de la primera ejecución de un archivo infectado, toda la información del CMOS de la computadora, o sea los datos como la fecha, hora y tipo de discos y otras unidades instaladas, serán borrados.
También intentará borrar el disco duro escribiendo en forma directa algunos sectores del mismo, con el texto
"YOUARESHIT".
Después de esta acción, mostrará este texto:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.
by: The Judges Disemboweler.
written in Malmo (Sweden)
Si ello tiene éxito, la computadora no podrá reiniciarse ni desde el disco duro, ni desde un disquete. Esta acción destructiva es muy similar a la del virus
CIH.
Otra rutina maliciosa, que se ejecuta solo en determinados momentos, hará que el intento por pinchar sobre un icono del escritorio falle, al moverse el icono de su posición original en el momento de querer apuntarlo con el cursor del ratón.
Básicamente, posee dos componentes, virus y troyano, con características de gusano.
Su acción no es inmediata, y una vez en memoria, espera varios minutos para proceder a enviarse a través del correo electrónico.
Las direcciones de envío, son tomadas de la libreta de direcciones de Windows, y de los mensajes existentes en las carpetas de mensajes del Outlook, del Internet Mail and News y del cliente de correo del Netscape (Messenger). El programa busca el cliente de correo
SMTP instalado en el sistema a través del registro, copia su configuración (busca la base de datos de mensajes de estos programas) y luego utiliza su propia rutina SMTP para enviarse.
Las direcciones son copiadas a un archivo especial con la extensión DAT (por ejemplo
WG-SKYF.DAT). El nombre del archivo lo genera encriptando el nombre de la propia máquina, y lo guarda en
C:\WINDOWS, el raíz C:\, o en la carpeta de C:\ARCHIVOS DE
PROGRAMA.
Los mensajes generados, contienen numerosos asuntos, texto, y archivos adjuntos con diferentes nombres. El
"Asunto" es seleccionado en forma aleatoria desde documentos
DOC y TXT de la propia computadora o, tomados de una lista de frases incluidas en el propio virus.
También puede enviar (en uno de cada 5 envíos) más de un adjunto en cada mensaje (hasta un total de 6), e incluso archivos sanos junto a otros infectados. Los archivos infectados son todos
PE (Portable Executable, como .EXE, .SCR, etc.), excluyendo los
.DLL. Los archivos extras pueden ser .DOC, .TXT, y .JS (Java Script). Si uno de estos componentes sin virus es enviado como adjunto, su contenido es generado en forma randómica, aunque también puede ser un documento existente en la computadora infectada, existiendo el riesgo del envío de documentos privados con información confidencial.
Las frases incluidas en el código del virus son las siguientes:
sentences you
sentences him to
sentence you to
ordered to prison
convict
judge
circuit judge
trial judge
found guilty
find him guilty
affirmed judgment of conviction
verdict guilty plea
trialcourt
trial chamber
sufficiency of proof
sufficiency of the evidence
proceedings
against the accused
habeas corpus
jugement
condamn
trouvons coupable
rembourse
sous astreinte
aux entiers dpens
aux d.pensayant d.lib
rle pr.sent arr
t vu l'arr
t
conform.ment
la loi
ex
cution provisoire
rdonn
audience publique
afait constater
cadre de la procdure
magistrad
apelante
recurso de apelaci
pena de arresto
y co ndeno
mando y firmo
calidad de denunciante
costas procesales
diligencias previas
antecedentes de hecho
hechos probados
sentencia
comparecer
juzg ando
dictando la presente
los au tos
en autos
den uncia presentada
Cómo además es capaz de disfrazar al remitente del mensaje (el usuario infectado), modificando algunos caracteres de la dirección de respuesta, el virus no solo
es muy difícil de detectar por su sola apariencia, sino que el intento de avisar al remitente que se encuentra infectado, falla por error en la dirección.
Las recomendaciones de no abrir jamás adjuntos no
solicitados, es una norma que debe ser cumplida más que nunca, y en el caso de oficinas o lugares de trabajo, se recomienda que sea implementada a través de una correcta política de uso del correo electrónico por parte de los administradores de sistema hacia todos los usuarios, o incluso a través de estrictas reglas.
El programa utiliza sofisticadas técnicas anti-debugging, como las denominadas
Structured Exception Handling (SEH), y hace uso de llamadas específicas del sistema a las
API de Windows. También examina la presencia de alguna utilidad del tipo debugger (como
Turbo Debugger, Soft-Ice, etc.) que se utilizan para examinar paso a paso el código que se ejecuta,
intentando bloquearlas.
Algunas empresas antivirales, como Trend Micro, encontraron en su examen indicios de que el troyano bajo determinado escenario, sería capaz de
escuchar por ciertos puertos, y conectarse a ciertas direcciones
IP.
Es capaz de propagarse en redes, buscando las carpetas de Windows en cada unidad mapeada. Los nombres buscados son:
Winnt
Win95
Win98
Windows
Si alguna de estas carpetas contiene un archivo
WIN.INI, el archivo infectado es copiado a esa carpeta, y el
WIN.INI es modificado de tal modo que la línea "run=" apunte a dicho archivo. De este modo la computadora infectada ejecutará el virus en el próximo reinicio (esto no funciona en Windows NT).
Cuando un archivo infectado es ejecutado, el virus intenta localizar el explorador de Windows
(Explorer.exe), en la memoria. Si tiene éxito, busca una sección donde pueda insertar su código de 120 bytes de largo, enganchándose a la función
"TranslateMessage".
Cada vez que esta función es llamada, un hilo (thread) es creado, y la función es liberada por el virus. Este hilo espera unos tres minutos antes de comenzar su rutina de envío masivo vía e-mail.
Una vez en memoria, el virus infecta todos los archivos en formato
PE de Windows que encuentra en la carpeta C:\WINDOWS\SYSTEM y sus subcarpetas, a excepción de los
.DLL.
Los archivos infectados, aumentan su tamaño en aproximadamente
28 Kb, al agregarse el código viral a la última sección de los mismos. Estos archivos mantienen su dirección de inicio (point address) original, pero se agregan 512 bytes de código "basura" en ese punto, haciendo que se ejecute la última sección, donde el virus toma el control utilizando un código polimórfico y encriptado. Esta acción es hostil para cualquier debugger que intente seguir el desarrollo del código.
El virus también agrega entradas al archivo WIN.INI, además de realizar modificaciones en el registro para poder ejecutarse en cada reinicio.
La clave modificada en el registro de Windows es la siguiente:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
(varios nombres)=C:\WINDOWS\SYSTEM\(varios nombres).EXE
La infección se produce generalmente cuando se ejecuta un archivo
PE (.EXE, .SCR, etc.) adjunto a un mensaje (no solicitado).
Note que el nombre del ejecutable, así como el asunto, y el texto del mensaje, tienen numerosas variantes, pudiendo tener el asunto hasta 60 caracteres de longitud.
Pero por su características, también puede propagarse a través de programas infectados en una red local, o a través de archivos descargados de Internet o de disquetes, CD-Roms, etc.
La primera vez que se corre el archivo infectado, el virus se copia a la carpeta
C:\WINDOWS\SYSTEM, pero alterando el último carácter del nombre original. Por ejemplo:
CFGWIZ32.EXE se copia como CFGWIZ31.EXE, PSTORES.EXE como
PSTORER.EXE, etc.
Si el archivo copiado fuera CFGWIZ31.EXE (es solo un ejemplo), la modificación en el registro quedaría así:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
CFGWIZ31=C:\WINDOWS\SYSTEM\CFGWZ31.EXE
Este archivo, infectará otros archivos PE en la misma carpeta
SYSTEM.
Algunos antivirus pueden identificarlo como W32.Levi.3205, debido a su poliformismo.
Como sacar el troyano de un sistema infectado
1. Ejecute uno (o más) antivirus actualizados para
revisar y limpiar su sistema. Tome nota del nombre del
troyano, para eliminarlo luego del registro.
2. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más
ENTER).
3. En el panel izquierdo del editor de registro de
Windows, pinche en el signo "+" hasta abrir la
siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run
4. Pinche sobre la carpeta "RUN".
5. Busque en la ventana de la derecha, todas las claves
que hagan referencia al virus. Note que el nombre de la clave
es similar al del ejecutable. Por ejemplo (es solo un ejemplo,
ya que el virus puede tomar cualquier nombre):
CFGWIZ31
"C:\WINDOWS\SYSTEM\CFGWZ31.EXE"
6. Pinche sobre el nombre "CFGWIZ31"
y pulse la tecla SUPR o DEL. Conteste afirmativamente la
pregunta de si desea borrar la clave.
7. Reitere este último paso con otros posibles nombres
dados al virus.
8. Use "Registro", "Salir" para
salir del editor y confirmar los cambios.
9. Desde Inicio, Ejecutar, escriba WIN.INI y
pulse Enter.
10. Busque una línea parecida a la siguiente
(recuerde, es solo un ejemplo):
[windows]
run = C:\WINDOWS\SYSTEM\CFGWZ31.EXE
11. Modifique la línea de este modo:
[windows]
run =
12. Salga del bloc de notas y guarde
los cambios realizados
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
Fuente: Symantec, Network Associates, Trend Micro, Sophos, F-Secure, Kaspersky
Ver también:
05/set/01 - Magistr.b. ¿Lo protege realmente su antivirus?
05/set/01 - A fondo: W32/Magistr.b, de la raza de las grandes plagas
04/set/01 - Se propaga versión "mejorada" del destructivo Magistr
10/set/01 - ZoneAlarm no es desactivado por el Magistr.B
05/may/01 - "Magistr", sofisticado enemigo que avanza a nivel mundial
03/may/01 - Hoax: Virus en archivo SULFNBK.EXE
19/may/01 - Los virus "manuales". Hágale un favor al virus, ejecútelo
27/may/01 - SULFNBK.EXE: LA VERDAD (o como matar mosquitos a cañonazos)
07/abr/01 - La cuenta final: el virus "Magistr" acecha en las sombras
19/ago/99 - Virus: W32/Kriz. Se activa un 25 de
diciembre
09/dic/00 - Pe_Kriz.4050. Actúa casi de igual forma que el CIH
20/dic/00 - W32.Kriz. Un peligroso regalo de Navidad
07/oct/00 - Virus: W32/MTX@MM
07/abr/00 - El W95.CIH a fondo
12/feb/01 - San Valentín y los virus. Consejos para todo el año
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED
|
|