|
VSantivirus No. 139 - Año 4 - Viernes 24 de noviembre de 2000
Nombre: W32/Driller.b
Alias: TUAREG 1.2
Fecha de descubrimiento: 22/nov/00
Tipo: Polimórfico, Infector de EXE, SCR y CPL
Gravedad: Media
Origen: España
Examen y descripción realizados por Ignacio M. Sbampato ( http://www.virusattack.com.ar), y reproducida con su autorización.
Esta nueva creación de Mental Driller, del grupo 29A, es un complejo virus polimórfico, que infecta archivos EXE, SCR y CPL, además de realizar algunas otras acciones.
Este virus tiene la capacidad de infectar archivos EXE, SCR y CPL, de Windows de 32 bits, mediante una compleja técnica de encriptación y polimorfismo.
Mediante ésta el virus se anexa al final de los archivos infectados, agregando de 16 a 32kb a su tamaño normal, y luego copia los primeros 8kb del archivo al final del mismo, y corre sobre estos bytes agregados (el virus más los 8kb del programa original), una compleja rutina polimórfica, que encripta su código haciendo muy difícil su detección y desinfección.
Luego, de esto encripta nuevamente sólo la parte del virus, que es sólo desencriptada cuando el archivo infectado se ejecuta.
El W32/Driller.b no infecta todos los archivos con las extensiones anteriores, sino sólo aquellos que cumplen ciertos criterios. En el análisis que llevamos a cabo pudimos detectar que infecta, sobre todo, archivos de configuración y desinstalación que se encuentren en los directorios \Windows y \Windows\System.
No corrompe los archivos infectados, salvo en contadas ocasiones, permitiendo el funcionamiento normal del sistema mientras se encuentra en él.
Como rutina extraordinaria, el virus modifica la página de inicio del Internet Explorer y el Netscape, por la de http://www.thehungersite.com, un sitio mediante el cual se puede donar dinero a la causa contra el hambre con sólo hacer un clic.
Se puede encontrar el siguiente texto en el virus, que nunca es mostrado:
[Virus TUAREG 1.2 by The Mental Driller|29A]
Este virus fue descubierto por Virus Attack! y reportado a las principales compañías antivirus, las cuáles lo incorporarán a sus bases de datos. En las pruebas realizadas (22/nov/00) aún ningún antivirus, lo detectaba, y sólo el F-PROT para DOS nos alertó con el mensaje "could be infected with an unknown virus" (podría estar infectado con un virus desconocido).
Se recomienda a los usuarios no intercambiar archivos EXE, SCR y CPL, y revisar que su tamaño sea igual al original, dado que, por el momento, es la única forma de saber de su presencia, además del cambio en la página de inicio de los navegadores.
Fuente: Virus Attack! (http://www.virusattack.com.ar)
|
|