Virus Warning!
Your computer has been infected by virus.
Virus name is 'SMASH', project D version 0x0A.
Created and compiled by Domitor.
Seems like your bad dream comes true...

Después de esto, reinicia el sistema, y como el primer archivo que toma el control es el IO.SYS infectado, el virus ejecuta su propia rutina, mostrando el siguiente texto:

Formating hard disk...

Luego de ello, procede a borrar toda la información de su disco duro, mediante un formateo completo.

La única forma de evitarlo, sería bootear la computadora desde un disquete de inicio. Pero tenga en cuenta que para ello, se deberá evitar que el PC se reinicie, apagándolo luego que aparezca el mensaje anteriormente mencionado (Virus Warning!).

El virus posee además sofisticadas técnicas polimórficas y de encriptamiento, las que hacen muy difícil su detección y la desinfección de los archivos infectados.

La técnica utilizada, similar a otros virus como el "BadBoy"), consiste en dividir su código y los datos, en numerosos bloques, los que son mezclados y copiados en forma aleatoria en cada archivo infectado, logrando de esta forma que prácticamente no existan dos archivos infectados con la misma estructura. Para poder manejar los diferentes bloques, el virus genera una tabla de información, con punteros hacia los diferentes bloques (rutinas de instalación, de infección, propagación, etc.).

Además el código resultante de la unión de todos los bloques, es encriptado con una rutina polimórfica.

El código se copia al final de los archivos infectados, creándose en ellos una nueva sección. Por esta razón, también se modifica el cabezal (header) del archivo PE, a los efectos que el inicio del programa sea la nueva sección creada, la que cambia su nombre en forma aleatoria.

Cuando el virus se instala en la memoria, permanece allí aún cuando el programa que lo ejecutó finalice su tarea. Para hacer esto, apela a diferentes trucos de programación que le permiten saltar del ring3 (la capa de software en la que se ejecutan los programas), al ring0, el nivel más cercano al procesador, y donde se ejecuta el Kernel, el corazón de Windows.

Una vez allí, utiliza las funciones IFS (Installable File System) y API (Application Program Interface), para actuar en la memoria como un driver VXD, e interceptar la apertura de los archivos de Windows (algo parecido a lo que hace el W95/CIH entre otros).

Cuando estos archivos son buscados o abiertos por el sistema, el virus procede a infectarlos, ejecutando silenciosamente sus rutinas y todos sus demás procesos.

Esta forma de actuar hace muy difícil su detección cuando el virus está activo en memoria.

Para limpiar este virus de un sistema infectado, deberá ejecutar primero uno o más antivirus actualizados, preferentemente desde un disquete de inicio o en modo "Solo símbolo del sistema", usando por ejemplo AVPlite, la versión MS-DOS de Kaspersky Antivirus (AVP).

Otra opción es utilizar F-Prot (gratuito para uso personal), ejecutándolo desde un disquete de inicio, como se explica en nuestro sitio:

VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)


Fuente: KasperskyLab México (www.avp-mx.com)
(c) Video Soft - http://www.videosoft.net.uy