Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

WCE/Dust.A. El primer virus para PocketPC
 
VSantivirus No. 1473 Año 8, domingo 18 de julio de 2004

WCE/Dust.A. El primer virus para PocketPC
http://www.vsantivirus.com/dust-a.htm

Nombre: WCE/Dust.A
Tipo: Virus
Alias: Duts.1530, Dtus, WinCE.Duts.a, WinCE/Dust.A, WinCE4/Dust, Duts.1530.A, Duts.1520, WCE/Duts-A, WinCE.Duts.a, WINCE_DUTS.A
Fecha: 17/jul/04
Plataforma: Windows CE
Tamaño: 1,520 bytes; 1,536 bytes

Se trata de un virus de 1,520 o 1,536 bytes, que infecta plataformas Windows CE .NET

Windows CE es el sistema operativo usado en dispositivos móviles de 32-bits. Soporta múltiples arquitecturas de CPU y opciones incluidas de comunicación y redes, y es utilizado en terminales Web, dispositivos de acceso a Internet, controladores industriales especializados, computadoras de bolsillo (Pocket PCs), etc.

El virus, infecta dispositivos ejecutándose en los siguientes sistemas operativos:

PocketPC 2000
PocketPC 2002
PocketPC 2003

Se trata de un programa compilado para procesadores ARM, y cuando se ejecuta, muestra el siguiente mensaje:

WinCE4.Dust by Ratter/29A
Dear User, am I allowed to spread?
[  Yes  ] [  No  ]

Si el usuario responde afirmativamente, el virus infecta todos los archivos con extensión .EXE que se encuentren en el directorio raíz de los dispositivos en los que se ejecute.

Se copia en la última sección del ejecutable, y cambia el header del archivo, para que la llamada de entrada apunte al comienzo del virus. Luego de su ejecución, le devuelve el control al programa original.

Para no volver a infectar archivos ya infectados, el virus examina si existe en determinado lugar no utilizado de la cabecera del .EXE, la cadena "atar", señal que utiliza como marca de infección.

Se trata de una prueba de concepto (POC), que demuestra la posibilidad de infectar dispositivos para la plataforma PocketPC.

El virus es del tipo parásito, agregándose él mismo al final de los archivos infectados.

En su código, contiene también el siguiente texto:

This is proof of concept code. Also, i wanted to make avers happy.The situation when Pocket PC antiviruses detect only EICAR file had to end ...
:
This code arose from the dust of Permutation City.

Los archivos infectados deben cumplir las siguientes condiciones:

- Estar compilados para el procesador ARM (ARM es una especificación de procesadores RISC, fabricado por Intel y otros, y utilizado en PocketsPC, etc.)

- Usar interfase gráfica Windows CE versión 4.0

- Poseer un tamaño menor a 4 Kb, y estar ubicados en el directorio raíz del dispositivo.

Los creadores de este virus (el grupo 29A), son los mismos del primer gusano para teléfonos móviles, el "Cabir".

El virus no se encuentra en la calle, y por lo tanto no existen reportes de infección. No es considerado un riesgo al momento actual, y su única probabilidad de propagación sería a través del intercambio de programas entre usuarios de PocketPC PDA.

Además de ello, el virus pide permiso para infectar al usuario (Dear User, am I allowed to spread?). Si la respuesta es "No", el virus no realiza ninguna otra acción.







(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS