Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Worm.Bumerang. Peligroso gusano que "destruye" una red
 
VSantivirus No. 497 - Año 6 - Sábado 17 de noviembre de 2001

Nombre: Worm.Bumerang
Tipo: Gusano de redes locales
Tamaño: 23 Kb comprimido, 52 Kb descomprimido
Fecha: 16/nov/01

Se trata de un peligroso gusano contenido en un ejecutable Win32 PE (Portable Executable), comprimido con la utilidad UPX, y escrito en Microsoft Visual C++.

Solo se propaga a través de redes locales e infecta aplicaciones Win32 (archivos PE).

Posee una versión modificada del CIH capaz de actuar inmediatamente en todas las máquinas conectadas en una red local, dejándolas inoperativas (basura en la Flash BIOS y borrado de la FAT y primeros sectores de cada disco duro).

La rutina de infección del virus, consiste en mover el comienzo del archivo original al final del mismo, y luego copiarse él mismo al principio. Cuando un archivo infectado es ejecutado, se ejecuta primero el gusano, y luego se arma el código original del programa infectado y se ejecuta, pero ya con el virus en memoria.

Solo funciona en máquinas con Windows 9x ya que utiliza llamadas al código específico de estas versiones de Windows. 

Sin embargo, debido a su naturaleza de infección a través de redes, puede llegar a infectar archivos en Windows NT, aunque estos no se ejecutarán en ese entorno.

Cuando un archivo infectado se ejecuta, el virus obtiene su propio código de otro archivo infectado, y luego copia este código al directorio System de Windows, con el nombre DDRAW32.DLL:

C:\Windows\System\DDRAW32.DLL

Este archivo contiene el código puro del gusano.

Si se produce algún error, se muestra un falso mensaje de "Fatal error".

El gusano también modifica esta rama del registro para su ejecución:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
= C:\Windows\System\DDRAW32.DLL

Sin embargo, con el virus en memoria, si un usuario ejecuta REGEDIT, dicha clave es removida temporalmente, en una ingeniosa rutina "stealth" para permanecer oculto.

Luego de cuatro minutos aproximadamente desde su ejecución, el gusano examina las unidades de red que son compartidas, y procede a infectar los archivos de esas unidades.

Cuando infecta un disco compartido, el virus examina si tiene los permisos de escritura habilitados. En el caso que dicho recurso tenga habilitado el acceso completo, el gusano procede a infectar todos los archivos con formato PE de esas unidades.

Si la unidad tiene acceso limitado por contraseñas, el virus prueba logearse como un usuario "guest", e intenta hacerlo con una serie de contraseñas seleccionadas por su código. Si tiene éxito, procede a infectar también a todos los archivos PE de esa unidad.

El gusano también intenta acceder a una máquina remota probando los accesos ocultos a recursos compartidos por el administrador (\C$ , \D$ y \E$).

La rutina de infección primero guarda en el registro la fecha y hora de su ejecución. Dependiendo del intervalo de tiempo pasado desde su primera ejecución, el virus lanza otra rutina capaz de finalizar una serie de procesos activos, de acuerdo a la siguiente lista:

Msgsrv32
Mprexe
Explorer
Taskmon
Internat
Systray
Mmtask
ddraw32

Entonces, extrae de su código el virus "Win95.CIH" y lo copia como RUN.EXE, para finalmente ejecutarlo.

La versión del "Win95.CIH" está modificada para que su acción comience de forma inmediata, provocando instantáneamente el borrado con basura de la Flash BIOS y la destrucción de la FAT y los primeros sectores del disco duro.

Otra rutina del gusano, permanece a la escucha de todas las máquinas ya infectadas de la red, y al mismo tiempo que la rutina destructiva es activada, el gusano envía una orden de destrucción a todas las demás máquinas de la red ya infectadas.

Cómo resultado, la rutina destructiva se ejecuta en todas las máquinas infectadas de la red, al mismo tiempo, con las catastróficas consecuencias que ello implica.

El virus posee una sofisticada rutina para ocultarse (stealth routine), y para ocultar también el archivo DDRAW32.DLL. Para esto, se engancha en la memoria a las funciones de búsqueda, y devuelve un mensaje de "no process" en caso de que se intente un examen por un proceso activo en memoria.

El gusano también modifica estas claves del registro:

HKLM\System\CurrentControlSet\Services\Class
Id
Go

HKLM\Enum\Network
Cnum
Inum

En su código, el gusano contiene este texto, que no es mostrado:

Bumerang

Como sacar el virus de un sistema infectado

Debido a sus características, la limpieza manual de este gusano, debe hacerse desconectando cada máquina de la red compartida (en forma física, desconecte los cables), y luego ejecutando un antivirus desde MS-DOS, previo inicio del sistema desde un disquete. Puede utilizar un antivirus como el F-Prot, tal como se indica en nuestro sitio:

VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)
http://www.vsantivirus.com/fprot-disq.htm

Referencias al CIH:

VSantivirus No. 287 - 21/abr/01
W95/CIH. Descripción del virus y algunas herramientas
http://www.vsantivirus.com/cih-descr.htm

VSantivirus No. 102 - 7/abr/00
El W95.CIH a fondo
http://www.vsantivirus.com/cih.htm

Glosario:

ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.


Fuente: Kaspersky Antivirus

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS