|
VSantivirus No. 905 - Año 7 - Domingo 29 de diciembre de 2002
Boot/WYX. Todas sus variantes
http://www.vsantivirus.com/wyx.htm
Nombre: Boot/WYX
Tipo: Virus de sector de booteo
Alias: WYX, Wyx.boot, Eek, Preboot, POLYBOOT
Variantes: Boot.Wyx.c, Eek, Preboot, POLYBOOT-B, WYX-B, WYX.b, WYX.B
Variantes: Wyx.C, Boot.Wyx.c
Fecha: nov/99, ago/01
Se trata de un sencillo virus del sector de booteo, cuya primera versión fue descubierta en noviembre de 1999. A la fecha existen por lo menos tres
variantes del mismo.
Infecta sectores de booteo del disco duro y de los disquetes
además del
Master Boot Record.
La forma en que un virus de este tipo podría infectarnos, sería el dejar un disquete infectado en la unidad A:, al mismo tiempo que la secuencia de inicio de nuestro PC sea A: -> C:
o Floppy -> IDE0 por ejemplo (ver "VSA #548 "Guía de supervivencia: Consejos para una computación segura"
http://www.vsantivirus.com/guia-de-supervivencia.htm).
Si un disquete infectado queda en la unidad A: e iniciamos el PC con la secuencia incorrecta
(A: -> C:, etc.), el virus mostrará el clásico mensaje
"Non-system disk or disk error", cuando ya ha infectado a nuestro disco duro.
En principio, puede eliminarse con un FDISK /MBR desde un disquete de inicio limpio.
El virus, una vez activo, permanece residente en memoria,
encriptado.
Su código ocupa dos sectores de disco (la primera versión), y estando en memoria, primero se desencripta, luego infecta el
Master Boot Record (MBR) del disco duro, el sector de booteo de la unidad C:\, y la de los disquetes.
El MBR se infecta al iniciarse con un disquete infectado. Para infectar otras unidades, el virus se engancha a la función INT 8 (timer), y en intervalos regulares revisa si existen otras unidades de disco en uso, dependiendo de lo cuál infectará disquetes en A:, B: o sector de booteo de C:.
Infección desde disquete
Al ejecutarse el boot del disquete, el virus compara la dirección de segmento utilizada por INT 8. Si el valor del segmento es menor de 0xC000 asume que él mismo ya está residente y salta directamente a su propio código en memoria. En cualquier otro caso, guarda la dirección original de INT 8 (el reloj del sistema), y decrementa la cantidad de memoria básica para el DOS (640 Kb) en 2 Kb.
Luego, mueve su código al tope de la memoria asignada (638 Kb) y transfiere el control a esa dirección. Una vez allí, carga el resto de su código almacenado en sectores al final del directorio raíz del disquete infectado, e infecta el MBR del disco duro.
Una vez infectado éste, carga el sector original del disquete original y le devuelve el control.
Al estar enganchado a INT 8, el virus es llamado 18.7 veces por segundo. De ese modo controla continuamente cada vez que se accede a una unidad de disco y la infecta.
Infección del Master Boot Record (MBR)
Cuando infecta el sector del MBR, el virus deshabilita la protección antivirus del BIOS, modificando la memoria CMOS.
El MBR original, el sector de booteo de la unidad C: y el segundo sector usado por el virus, son guardados en los últimos sectores de la primera pista de la unidad de disco duro (una pista reservada).
El sector original de booteo de los disquetes, es guardado al final de los sectores del directorio raíz.
Con cada booteo subsecuente, el virus se cargará en memoria e intentará infectar otros disquetes. Por otra parte la técnica de infección del disco duro no es común, ya que se infectan ambas áreas del sistema de un disco duro simultáneamente.
El virus no se manifiesta a si mismo de ninguna manera, aunque contiene en su código el siguiente texto:
31/03/98 WYX
* Variante WYX.B
Esta variante también es conocida como Eek.B, Preboot o
POLYBOOT-B, y ocupa 5 sectores de disco.
WYX.B es un virus residente en memoria, encriptado, que también infecta el Master Boot Record (MBR) y el sector de booteo del DOS (del primer disco duro únicamente). Este método de infección es considerado inusual entre los virus que afectan los sectores de booteo. También puede infectar el sector de arranque de los disquetes.
El virus guarda el sector de booteo original en otro lugar, dependiendo éste del tipo de sector:
DBS (Dos Boot Sector), MBR (Master Boot Record) o sector de arranque del disquete.
De cualquier modo, no es un virus destructivo.
* Variante WYX.C
Esta variante, también polimórfica, infecta sectores de booteo de los discos duros y disquetes. Aunque tampoco posee una rutina destructiva, esta versión es capaz de destruir particiones
FAT32 si se produce la infección.
WYX.C ocupa tres sectores de disco, y también reduce la memoria básica para aplicaciones DOS
(640 Kb) en 2 Kb, cargándose en el tope de esa memoria
(638 Kb). Luego, infecta el Master Boot Record (MBR) y el
Disk Boot Sector (DBS) de la primera partición activa en el disco duro.
Debido a un error en su código, el virus sobrescribe parte de la memoria de video durante su ejecución. Esto causa un efecto visible en aplicaciones DOS (basura en la parte superior de la pantalla).
WYX.C contiene el siguiente texto:
20/01/2001 WYX
Esta versión puede afectar a Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, UNIX y Linux. No afecta sistemas Macintosh.
Métodos de limpieza
Para limpiarlo, puede usarse un antivirus como el F-PROT, ejecutándolo desde un disquete, previo inicio del PC desde un disquete LIMPIO Y PROTEGIDO, PREVIAMENTE GRABADO EN UNA MAQUINA SIN VIRUS. (El proceso está explicado en
el artículo "Cómo ejecutar F-PROT desde un disquete"
http://www.vsantivirus.com/fprot-disq.htm).
También el uso del comando FDISK /MBR puede ayudar (siga las instrucciones de nuestro artículo "FDISK /MBR y los virus"
http://www.vsantivirus.com/fdisk-mbr.htm)
Si esto causa problemas, existe también una utilidad de Central Command que puede bajar de nuestro sitio
(http://www.videosoft.net.uy/wyxfix.zip).
En ese caso procedamos así:
1 - Extraemos los archivos contenidos en WYXFIX.ZIP a un disquete limpio (nuevo). Los archivos son:
CWSDPMI.EXE y
WYX_FIX.EXE
2 - Protegemos el disquete para que no pueda ser grabado, con la lengüeta correspondiente (abierta).
3 - Conseguimos un disquete de inicio LIMPIO, y PREVIAMENTE CREADO EN UNA PC SIN VIRUS.
4 - Protegemos ese disquete con la lengüeta correspondiente.
5 - Reiniciamos el PC, asegurándonos de bootear desde el disquete limpio (hay que asegurarse de que la configuración en el BIOS Setup del PC lo permita así, primero disquete
-FLOPPY-, luego unidad C: -IDE 0-).
6 - Luego del inicio desde el disquete de arranque, introducimos el disquete con los archivos
CWSDPMI.EXE y WYX_FIX.EXE
7 - Desde A:\ tecleamos:
WYX_FIX.EXE
[y Enter].
Si el Master Boot Record del sistema infectado ha sido corrompido, y la PC no inicia desde el disco C:, usamos el siguiente comando para forzar la reconstrucción y limpieza del MBR:
También desde A:, tecleamos (cuidado con el espacio antes del parámetro /F):
WYX_FIX.EXE /F
[y Enter]
Información adicional
Computadoras con manejadores de arranque (boot managers) o múltiples sistemas de booteo, pueden guardar información en la primera pista del disco duro. Eso podría hacer que la infección del virus dejara irreparable la información contenida en el disco.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Referencias:
Descarga de WYXFIX.ZIP
http://www.videosoft.net.uy/wyxfix.zip
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm
FDISK /MBR y los virus
http://www.vsantivirus.com/fdisk-mbr.htm
El caso de la extraña infección con el virus WYX
http://www.vsantivirus.com/wyx-memory-key.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|