Virus: Win32.Idele. Infecta todos los ejecutables

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 196 - Año 5 - Sábado 20 de enero de 2001

Nombre: Win32.Idele
Tipo: Virus infector de archivos Win32
Alias: W32/Idele, W32.Idele
Fecha: 10/ene/01

Es un virus encriptado de Win32, residente en memoria, capaz de infectar todos los archivos .EXE (PE) de todas las unidades de disco duro.

En la infección, utiliza la tecnología "entry-point-obscuring" (EPO). Esta consiste en no modificar la dirección de inicio del programa infectado (normalmente, un virus modifica esta entrada para poder ejecutarse primero él). En lugar de ello, busca una instrucción de salto (JMP en assembler), y la modifica para un salto a su propio código.

Los archivos infectados contendrán en su código el texto ".Pdata" y no variarán ni en su tamaño, ni en su fecha de creación. El virus cambia la última sección del archivo PE a .Pdata, y se copia a si mismo allí.

Los usuarios podrán visualizar en algún momento de este proceso, una ventana de mensajes con este texto:

Warning!

Ready to be infected
by Idele
virus v 1.9 /[T.I] ?

Cuando el programa infectado es ejecutado, en el momento que el mismo realice el salto a una de sus posibles rutinas, en realidad se ejecutará el virus antes.

En ese momento, el virus generará un hilo (thread) en segundo plano, y quedará en memoria como un proceso de la aplicación infectada, hasta que esta finaliza.

Trabajando en segundo plano, el virus revisará todos las unidades de disco, buscando e infectando archivos en formato PE (Portable Executable), los ejecutables de Win32.

La rutina de infección posee un error, y en algunos casos los archivos infectados no podrán funcionar correctamente.

El virus contiene este texto, que no es exhibido:

Idele virus version 1.9DoxtorL./[T.I]/Dec.Y2K'

Fuente: Kaspersky, McAfee