Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W95/ILMX. Accede al Ring0, infecta .EXE y .SCR
 
VSantivirus No. 261 - Año 5 - Lunes 26 de marzo de 2001

Nombre: W95/ILMX
Tipo: Infector de archivos Win32
Alias: ILMX, PE_ILMX.A, Win95.ILMX, W95.ILMX.1291
Tamaño: 1,291 bytes
Activo: Si

Es un virus polimórfico, residente en memoria, que infecta archivos .EXE y .SCR de Windows 95 y 98 (formato PE, Portable Executable, los archivos de Win32).

Utiliza una encriptación simple (un XOR con una clave variable), con lo que cambia de forma en cada infección (polimorfismo). 

Una vez en memoria, el virus infecta los archivos .EXE y .SCR (protectores de pantalla), que son accedidos por el sistema.

No posee ninguna rutina destructiva, ni descarga ningún archivo en el sistema, como tampoco modifica el registro ni ningún otro archivo de inicio. Es de acción directa (se ejecuta cuando abrimos un archivo infectado), y queda en memoria.

Utiliza el servicio de transferencia de datos SIDT, Service Interrupt Descriptor Table, usado por el sistema operativo en modo protegido, enganchándose a la interrupción 3 para alcanzar los privilegios del Ring0 (el nivel más básico y cercano al procesador en el funcionamiento de un sistema operativo). Los programas que se ejecutan en este nivel, pueden llegar a tener acceso sin restricciones a toda la computadora.

Una vez en este nivel, que es usado por el Kernel, el corazón de Windows, el virus se engancha al IFS Manager, el cuál controla las funciones de acceso al disco. Entonces, cada vez que un archivo es accedido y se detecta el uso de la función IFSFN_Open, el virus examina si es un .EXE o .SCR y si no está infectado aún.

Para ello el virus busca en el código de éste, la marca que él mismo pone en los archivos infectados, la siguiente cadena de texto:

FMX

Si no la encuentra, el virus se agrega a si mismo a ese archivo, infectándolo, y encriptando su código.

Fuente: Trend Micro

 

Copyright 1996-2001 Video Soft BBS