|
VSantivirus No. 696 - Año 6 - Lunes 3 de junio de 2002
W32/Simile.D, Linux/Simile.D. Infecta Linux y Windows
http://www.vsantivirus.com/simile-d.htm
Nombre: W32/Simile.D, Linux/Simile.D
Tipo: Virus
Alias: W32.Simile, {Win32, Linux}/Simile.D, {Win32, Linux}/Etap.D, Linux.Simile, Win32/Simile
Plataformas: Windows 9x, Me, NT, 2000, XP y Linux
Fecha: 22/may/02
Fuente: Symantec
Se trata de un virus altamente complejo, que utiliza técnicas como las de "entry-point obscuring", metamorfosis, y encriptación polimórfica, cuya principal característica es su capacidad de infectar tanto bajo Windows como en sistemas Linux. Sin embargo, no es el primero capaz de esto, ya que en marzo de 2001 se hizo conocido por ello, el virus
Winux (Lindose, PEElf).
Simile no contiene rutinas destructivas, pero infecta archivos y despliega mensajes en fechas predeterminadas.
Actualmente es la cuarta variante de la familia Simile, la cuál introduce un nuevo mecanismo de infección en plataformas Intel bajo Linux, infectando archivos ELF de 32-bit (el formato binario estándar de Unix). También infecta archivos en formato Portable Executable (PE) de Windows 32.
Cuando se ejecuta, el virus examina la fecha actual, y de acuerdo a ello realiza las siguientes acciones:
1. Si la fecha es 17 de marzo o 17 de setiembre, y el archivo infectado está en formato PE (Windows), muestra este mensaje:
mETAPhOr 1C bY tHE mENtal dRIller/29A
mETAPhOr 1C bY tHE mENtal dRIller/29A
[ OK ]
2. Si la fecha es 17 de marzo o 17 de
mayo, y el archivo infectado está en formato ELF (Linux), el virus intentará mostrar un mensaje como el siguiente en la consola:
[guest@rh72 guest]$ uname -a
Linux rh72 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown
[guest@rh72 guest]$ date
Sun Mar 17 12:08:43 PST 2002
[guest@rh72 guest]$ 11
total 160
-rwxrwxrwx 1 guest guest 157141 Mar 7 2000 cp.inf
[guest@rh72 guest]$ ./cp.inf /bin/cat .
[guest@rh72 guest]$ metAPhoRr 1c bY thE mEnTal DrilLEr/29A
[]
|
Cómo mencionábamos, Winux (Lindose,
PEElf), el primer virus conocido por actuar en forma simultánea en plataformas Windows y Linux, utilizaba dos rutinas completamente separadas para infectar los archivos PE y ELF.
Esta variante de Simile, en cambio, comparte una cantidad importante de código entre ambos tipos de infección, como las rutinas de polimorfismo y metamorfismo.
Las únicas rutinas específicas de cada plataforma, son las encargadas del manejo de directorios (directory traversal code) y de las funciones API (Application Program Interface).
Según Symantec, el virus funciona perfectamente en las versiones 6.2, 7.0 y 7.2 de Red Hat Linux, y probablemente lo haga en la mayoría de las distribuciones más comunes.
Los archivos infectados aumentan su tamaño en un promedio de 100 a 110 Kb, pero esto varía en cada caso de acuerdo al método de inserción y al resultado de la aplicación de las rutinas metamórficas.
Para eliminar manualmente la infección provocada por este virus, actualice y ejecute un escaneo total de sus discos con uno o más antivirus, borrando todos los archivos que aparezcan como infectados
(W32/Simile o Linux/Simile), reemplazándolos por copias limpias obtenidas desde un respaldo, o reinstalando los programas correspondientes.
Referencias:
VSantivirus No. 264 - 29/mar/01
Virus: Winux (Lindose). El primer virus para Windows y Linux
http://www.vsantivirus.com/winux.htm
Glosario:
API (Application Program Interface). Interface de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.
ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
ARCHIVOS ELF (Executable and Linking Format). Archivos ejecutables (Formato Ejecutable y Vinculado), propios del sistema operativo Unix/Linux. Es el formato binario estándar de Unix.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|