Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W95/CIH.damaged. Una infección corrupta del CIH
 
VSantivirus No. 1360 Año 8, sábado 27 de marzo de 2004

W95/CIH.damaged. Una infección corrupta del CIH
http://www.vsantivirus.com/cih-damaged.htm

Nombre: W95/CIH.damaged
Tipo: Virus
Alias: W95.CIH.damaged
Variante: W95.CIH.corrupt, Win95.CIH.corrupted
Fecha: 28/jun/98
Agregado: 27/mar/04

Este tipo de infección no es nuevo, pero es agregado a nuestra lista por recientes reportes recibidos.

El CIH es un peligroso virus que infecta archivos ejecutables de 32-bit. Cuando un programa infectado se ejecuta, el virus infectará la memoria de la computadora. CIH infecta entonces nuevos archivos cuando ellos sean abiertos.

Este virus intentará modificar o adulterar ciertos tipos de FLASH BIOS, el software que inicializa y maneja las configuraciones de los dispositivos del sistema, incluso la unidad de disco duro, los puertos serie y paralelo y el teclado. Borrando parte del programa del BIOS, el virus puede impedir que una computadora se pueda iniciar correctamente.

En ocasiones se produce un tipo de infección que termina con el archivo original corrupto o dañado, y que por lo tanto, la mayoría de las veces no se puede ejecutar (ni el programa ni el virus propiamente dicho).

Si un archivo es detectado como infectado por esta variante del CIH, generalmente dicho archivo no puede ser reparado. La solución es borrarlo y reemplazarlo por un respaldo desde una copia limpia. En el caso de tratarse de un programa, se recomienda su reinstalación.

Este tipo de infección se produce generalmente, debido a un método utilizado por muchos programas, para disminuir los tiempos de carga. Este método utiliza una tabla de funciones en la estructura de los archivos en formato PE (Windows Portable Executable), que es conocida como "Bound Imports Table" (BIT). La tabla es construida generalmente por el sistema, cuando un programa es instalado o actualizado.

Si el programa es infectado por el virus CIH después de haber sido instalado o actualizado, y de que se ha creado la tabla BIT, entonces el mismo podría funcionar normalmente, aunque se notaría en algunos sistemas, una notoria demora en el tiempo de su carga en memoria al ser ejecutado.

Si el sistema ya está infectado por el CIH cuando el programa es instalado o actualizado, el virus interferirá con el proceso de tal modo que puede dejarlo inutilizable.

Esto ocurre porque con el método mencionado antes, el programa es creado o actualizado en etapas. En cada etapa, se modifican diferentes partes del código, y por lo tanto se limpia la infección previa del CIH, el cuál detecta al archivo como limpio y vuelve a infectarlo.

Debido a la forma en que actúa el CIH (busca espacios vacíos, sin usar, dentro de los ejecutables que infecta, dividiéndose en partes más pequeñas para esconderse allí), su código va quedando en diferentes posiciones dentro del archivo infectado. Al mismo tiempo, el sistema operativo va construyendo la Bound Imports Table, con lo que sobrescribe partes del código del virus, dejando al programa y al propio virus inutilizables.

Tenga en cuenta que si bien puede tratarse de una infección antigua, también existe la posibilidad de la presencia activa del gusano CIH.

Más información sobre el W95/CIH:

El W95.CIH a fondo
http://www.vsantivirus.com/cih.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS