Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Perrun. El primer virus que infecta archivos JPG
 
VSantivirus No. 707 - Año 6 - Viernes 14 de junio de 2002

 W32/Perrun. El primer virus que infecta archivos JPG
http://www.vsantivirus.com/perrun.htm

Nombre: W32/Perrun
Tipo: Virus de JPG (Prueba de concepto)
Alias: W32.Perrun, Win32.Perrun, PE_PERRUN.A, W32.Perrun.dr, W32/Perrun-A
Plataforma: Windows 32-bit
Fecha: 13/jun/02
Tamaño: 11,780 bytes (UPX) y 5,636 bytes (UPX)
Fuentes: NAI, Symantec, Trend, CA, Sophos

Este virus no puede considerarse una amenaza, ya que sus probabilidades de distribuirse y de infectar son limitadas. Sin embargo, la prensa le ha dado una atención, que como casi siempre ocurre, solo logra confundir al usuario con alarmas infundadas.

W32/Perrun solo se trata de una prueba de concepto. 'Proof of concept' es la denominación genérica de un virus de laboratorio, que solo sirve de demostración de determinada técnica. Generalmente carecen de carga destructiva, o incluso de las habilidades para propagarse o infectar correctamente. Solo demuestran que algo puede ser posible.

Hasta hace poco se pensaba que los archivos de imágenes, por su características, no podrían contener un virus que se pudiera ejecutar. Este virus infecta los archivos con extensión JPG (JPEG, Joint Photographic Experts Group), un conocido y muy usado formato de imágenes comprimidas usado como estándar.

Sin embargo, para que el virus pueda actuar, se requiere un componente que extraiga y ejecute el código del virus de la imagen.

Si la imagen es visualizada con un visor corriente (el propio Explorer o una utilidad como ACDSee o IrfanView por ejemplo), el virus no puede ejecutarse por si solo. Requiere el uso de una utilidad de extracción cuyo archivo se llama EXTRK.EXE, y que también se encarga de ejecutar el virus en la máquina infectada.

Algunas indicaciones de la infección producida por este virus, son el aumento de aproximadamente 11Kb de las imágenes infectadas, y la presencia en la computadora de un archivo llamado EXTRK.EXE.

Cuando este proceso ocurre (EXTRK.EXE extrae y ejecuta el cuerpo del virus), se crean los siguientes archivos:

REG.MP3 (Un archivo .REG usado para modificar el registro)
EXTRK.EXE (el ejecutable que se asocia con los .JPG en el registro)

Para hacer que EXTRK.EXE, el extractor y ejecutor del virus, se active por su cuenta, sin la intervención del usuario, el archivo REG.MP3 tiene las instrucciones para modificar la siguiente clave del registro:

HKEY_CLASSES_ROOT\jpegfile\shell\open\command
(Predeterminado) = "C:\xxxx\extrk.exe %1"

Las "xxxx" representan el directorio donde se hubiera copiado el extractor EXTRK.EXE.

A partir de esto, cada vez que un JPG quiera ser abierto para ser visualizado, se ejecuta antes el extractor EXTRK.EXE, libera y ejecuta el posible virus en el archivo .JPG (si existe), y luego visualiza la imagen.

El virus originalmente se distribuye como un ejecutable Win32 PE de 11,780 bytes, comprimido con la utilidad UPX, y escrito en Visual Basic. Tenga en cuenta que puede tener cualquier nombre, y puede ser enviado o descargado de algún sitio malicioso, llevando al usuario a su ejecución mediante engaños.

Si se ejecuta, entonces se crea el archivo EXTRK.EXE, un ejecutable PE de 5,636 bytes, también comprimido con la utilidad UPX, en la carpeta actual, y se modifica el registro para asociar la apertura de archivos JPG al mismo.

HKEY_CLASSES_ROOT\jpegfile\shell\open\command
{default} = "%Current directory%\extrk.exe %1"

La variable "%Current directory%" representa el directorio actual, donde se ha copiado el extractor EXTRK.EXE.

Esta modificación es hecha con el archivo REG.MP3, que en realidad es un archivo .REG, no un MPEG.

Luego, el virus busca archivos JPEG en el directorio actual y agrega su código a ellos.

A partir de entonces, cuando un usuario hace doble clic sobre un archivo de imágenes con formato JPEG, el extractor EXTRK.EXE se ejecuta antes automáticamente, y si corresponde, extrae y ejecuta el código viral agregado a la imagen. Para ello, primero examina si es un JPG infectado o no, y luego lo visualiza a pantalla completa, usando la librería SHIMGVW.DLL (Vista previa de la imagen).

Es importante destacar, que un archivo de imagen es totalmente inofensivo, aun cuando estuviera infectado, si en la computadora en que se visualiza no existe el archivo EXTRK.EXE ni está creada la modificación mencionada en el registro. El usuario puede visualizar sin ninguna clase de peligro estas imágenes.

Es probable que en sistemas operativos que no tengan la librería SHIMGVW.DLL, que corresponde a la vista previa de la imagen, el virus no funcione correctamente. Windows Me y XP lo incorporan por defecto.

Existe una variante que cuando el usuario hace doble clic sobre un archivo JPG, EXTRK.EXE intenta descargar de estos sitios:

ie.search.msn.com
sa.windows.com
se.windows.com

Los siguientes archivos:

sasearch/balloon.xs1
sasearch/lclsrh.xml
sasearch/lclAdv.xml
sasearch/lclprog.xml
sasearch/lclrfine.xml


Procedimiento de limpieza

En caso de infección, se deben seguir los siguientes pasos para modificar el registro:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee lo siguiente y pulse ENTER

SHIMGVW.DLL

3. Si aparece este archivo, cuando llegue al punto 9, siga el procedimiento 9.a, de lo contrario, use el procedimiento 9.b

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\jpegfile
\shell
\open
\command

8. Pinche en la carpeta "command" y en el panel de la derecha haga doble clic sobre el nombre "(Predeterminado)".

9. Si en "Información del valor" existe una referencia a EXTRK.EXE, bórrela y súplantela por una de las siguientes opciones (ver puntos 1 a 3):

9.a Existe SHIMGVW.DLL. Escriba lo siguiente (todo en la misma ventana en una sola línea):

rundll32.exe C:\WINDOWS\SYSTEM\SHIMGVW.DLL,ImageView_Fullscreen

O suplante C:\WINDOWS\ por el nombre y ubicación correctos de su sistema operativo.

9.b NO existe SHIMGVW.DLL. Escriba lo siguiente:

"C:\ARCHIV~1\INTERN~1\iexplore.exe" -nohome

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

12. Ejecute un antivirus al día, y busque y borre el archivo EXTRK.EXE de su sistema.


Referencias:

VSantivirus No. 707 - 14/jun/02
El primer virus de archivos JPG no es una amenaza
http://www.vsantivirus.com/14-06-02.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS