|
VSantivirus No. 958 - Año 7 - Jueves 20 de febrero de 2003
W32/Bagif. Libera varios virus, infecta .EXE y .SCR
http://www.vsantivirus.com/bagif.htm
Nombre: W32/Bagif
Tipo: Virus
Alias: Bagif, Win32.Bagif, Win32/Bagif, W32.Bagif, Win32.KME, PE_ZMORPHx, Worm.Win32.Bagif, Win32.KME, Worm.Win32.Bagif, Win32/KME, backup.gif
Fecha: 20/feb/03
Plataforma: Windows 32-bits
Es un virus polimórfico (cambia su código en forma aleatoria, agregando en algunos casos información basura a su código, con la idea de confundir a los antivirus, al obtener un aspecto diferente en cada archivo infectado). Además está encriptado y actúa como "dropper" (cuentagotas). Un "dropper" es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".
Algunas muestras del virus han sido detectadas con el nombre de "backup.gif", y de allí se tomó el nombre (BAckupGIF = BAGIF).
Bagif libera varios virus y troyanos, contenidos en su código.
Hace uso de una técnica denominada EPO (entry point obscuring). Esto consiste en forma básica en no modificar la dirección de inicio del programa infectado (normalmente, un virus modifica esta entrada para poder ejecutarse primero él). En su lugar busca instrucciones estándar de llamadas a rutinas o subrutinas (instrucciones JMP en assembler); modifica la dirección de destino para este salto, creando su propia tabla de funciones con "LoadLibrary" y "GetProcAddress" para ejecutarse cuando una función importada es llamada, y la hace apuntar a su código. Luego de que se ejecute el virus, le devuelve el control al programa.
Como resultado de esta técnica el virus no siempre se activa al comienzo (cuando se ejecuta el programa infectado), y en contadas ocasiones nunca se activa. El virus no puede saber si la rutina interceptada se va a ejecutar siempre en dicho programa, o solo cuando se cumpla una condición o acción específica por parte del usuario.
En concreto, el virus no se ejecuta directamente cuando un archivo infectado es ejecutado.
Bagif utiliza también el Kewl Mutation Engine, de origen ruso, para encriptar y desencriptar su propio código.
Para propagarse, se oculta en el archivo NTLOADER.EXE, el cuál es enviado a través de cualquier servicio de Internet, como el correo electrónico, HTTP, FTP, TELNET, IRC, ICQ, etc.
El virus es un ejecutable en formato PE (Portable Executable).
Cuando se ejecuta, el virus se copia en la carpeta System de Windows:
c:\windows\system\ntloader.exe
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
También modifica el registro, para autoejecutarse cada vez que se llama a un archivo .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = c:\windows\system\ntloader.exe "%1" %*"
Luego libera otro virus en la carpeta de inicio de Windows:
C:\Windows\Menú
Inicio\Programas\Inicio\Win32s.exe
"C:\Windows\Menú Inicio\Programas\Inicio" en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents and Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows NT "C:\WinNT\Profiles\[usuario]\Menú Inicio\Programas\Inicio"
La rutina de encriptación es muy elaborada. Por ejemplo, utiliza instrucciones de punto flotante del procesador 386 (FPU por sus siglas en inglés, Floating Point Unit). FPU es un chip especialmente diseñado para acelerar todo proceso que requiera una gran cantidad de cálculos.
La desencriptación ocurre por partes. La primera busca la librería de Windows KERNEL32.DLL (el Componente del núcleo del kernel Win32), obteniendo las direcciones de dos funciones API que necesita para su funcionamiento posterior. API (Application Program Interface), es un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo.
Luego de asignarse un área en la memoria, Bagif desencripta allí su cuerpo principal y toma el control.
El virus busca entonces en todas las unidades de disco locales y de red, todos los archivos con extensiones .EXE y .SCR e intenta infectar a los que reúnen ciertas características. Debido a sus técnicas de infección, no todos los ejecutables pueden ser infectados satisfactoriamente, sino solo aquellos que usan la función ExitProcess(), aportada por Kernel32.dll.
El código del virus se agrega a la primera sección del archivo infectado, reemplazando la función anteriormente mencionada, por un salto a su propia rutina desencriptadora.
Los archivos que usan la función ExitProcess(), son aquellos que finalizan cuando son detenidos desde el menú u opción correspondiente.
Cómo vimos, al usar la técnica EPO, el virus no modifica las direcciones de comienzo de los archivos infectados. Todo ello, hace más difícil su correcta identificación por parte de los productos antivirus.
Bagif evita infectar archivos cuyos nombres comiencen con las siguientes cadenas:
EXPL
UNRE
HL
Solo puede infectar archivos mayores de 4 Kb, pero que no sean más grandes de 2 MB.
También intenta propagarse a otras computadoras conectadas a una red, buscando directorios con los siguientes nombres en cada unidad de disco o carpeta compartida:
WINDOWS
WINNT
WIN95
WIN98
WINME
WIN2000
WIN2K
WINXP
En cada directorio encontrado, el virus se copia a si mismo con el nombre de TSOC32.EXE. También modifica el archivo WIN.INI de cada unidad remota para que se autoejecute el virus cada vez que Windows se reinicie en esas computadoras:
[windows]
run=c:windows\tsoc32.exe
WIN.INI solo afecta a los sistemas Windows 95, 98 y Me.
Oculto en su código, el virus contiene el siguiente texto:
HI CHUNK OF SH*T !
IT'S ME
SUPRA VIRUS
BY GRIFIN
I HATE SCHOOL & USA
KILL 'EM ALL
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza, y luego reiterar los siguientes pasos en cada computadora en forma individual, antes de reconectar la red.
Para eliminar el virus de un sistema infectado
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) = c:\windows\system\ntloader.exe "%1" %*"
6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (c:\windows\system\ntloader.exe) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
"%1" %*
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Antivirus
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\ntloader.exe
c:windows\tsoc32.exe
c:\windows\menú inicio\programas\inicio\win32s.exe
(o alguna de las carpetas siguientes, según el sistema operativo:
c:\documents and settings\[usuario]\menú inicio\programas\inicio\win32s.exe
c:\winnt\profiles\[usuario]\menú inicio\programas\inicio\win32s.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
run=c:windows\tsoc32.exe
Debe quedar como:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza adicional con F-Prot
Se sugiere cómo último paso iniciar su PC desde un disquete, y proceder a la limpieza del mismo con un antivirus como el F-Prot, tal como se indica en nuestro sitio:
Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|