| |
VSantivirus No. 171 - Año 4 - Martes 26 de diciembre de 2000
Nombre: PE.Begemot.A
Tipo: Infector de archivos PE
Alias: Win95.Begemot, Begemot.A, PE_Begemot.A-O
Tamaño: 8,192 bytes
Se trata de un virus residente en memoria, polimórfico, de apenas 8 Kb, que una vez instalado es capaz de infectar todos los archivos con formato PE (Portable Executable) de Windows, incluyendo ejecutables (EXE), y salvadores de pantalla (SCR), que sean accedidos por el sistema. También infecta archivos comprimidos con la utilidad RAR, agregando un archivo infectado
(BEER.EXE) dentro de los mismos.
Puede afectar archivos con estas extensiones:
EXE
SCR
RAR
SFX
CPL
DAT
BAK
El virus usa llamadas al sistema, que solo funcionan en Windows 95/98, no pudiéndose extender bajo Windows NT.
Posee algunos fallos, y ocasiona congelamientos del sistema en algunas ocasiones.
Utiliza algunas rutinas fuera de lo común en su código. Por ejemplo, guarda su código encriptado y comprimido en los archivos infectados, y lo descomprime al instalarse en memoria.
Es capaz de comunicarse con un módulo externo que lo puede controlar desde una interface tipo consola. Desde esta consola por ejemplo, se puede habilitar o deshabilitar las rutinas de infección.
Utiliza ingeniosos métodos para saltar de ring3 a ring0, etc. Usando estas habilidades, el virus puede deshabilitar la parte residente de algunos antivirus.
El día 2 de enero de cualquier año, borra archivos de datos de algunos antivirus y despliega un mensaje.
Cuando se ejecuta por primera vez, el virus desencripta su propio código, se instala en memoria y se engancha (hook) a las funciones de archivo del sistema.
Como consecuencia de ello, el virus será activado con cada subsecuente acceso y ejecución de archivos por parte de Windows.
Para infectar un archivo, el virus inserta su código en la última sección de este. Cuando el archivo infectado se ejecuta, el virus modifica el punto de entrada (entry point) del mismo, y toma el control del archivo que le sirve de host.
Para evitar volver a infectar un mismo archivo, busca en él su firma identificatoria.
Si un archivo .RAR es accedido, el virus agrega el ejecutable
"BEER.EXE" en él.
También es capaz de borrar archivos de algunos antivirus en ese punto.
Si la fecha actual es 2 de enero (de cualquier año), se muestra una ventana de mensajes con el siguiente texto:
Wait a minute, Micro$h!t is everywhere u want to be... Please call Micro$h!t on-line help, if u have any problems. Don't u have a telephone? So call your system supervisor. R u supervisor? So call Micro$h!t on-line help... Ehrm, well... where do u want to go y3st3rday? PS: Your problem ain't virus. Micro$h!t didn't certified this hardware, buy a new one... Press OK button to solve this problem by Micro$h!t...
El virus también borra estos archivos, pertenecientes a varios antivirus, como AVP, Dr. Web, etc.:
ANTI-VIR.DAT
AVG.AVI
AVP.CRC
DRWEBASE.VDB
NOD32.000
Es capaz de deshabilitar el monitoreo de algunos antivirus, incluyendo los siguientes:
AVP Monitor
Amon Antivirus Monitor
El código principal, contiene el siguiente texto, que no es mostrado:
Virus Win98.BeGemot by Benny/29A
Fuente: Kaspersky Antivirus, Trend Micro
|
|
