A fondo: W32/Magistr.b, de la raza de las grandes plagas

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 424 - Año 5 - Miércoles 5 de setiembre de 2001

Nombre: W32/Magistr.b
Tipo: Virus infector de archivos PE, y Gusano de Internet
Alias: W32.Magistr.39921@mm, MAGISTR, MAGISTR.B, I-Worm.Magistr.b, W32.Magistr.39921@mm, W32.Magistr.B@mm
Fecha: 3/set/01
Tamaño: 39,921 bytes

Esta nueva variante del Magistr, supuestamente realizada en España, posee algunas características que pueden hacerlo más peligroso que su antecesor. Posee además características polimórficas (cambia de forma en cada infección).

No es notorio en un sistema infectado hasta el momento de activar alguna de sus rutinas (salvo con la detección de un antivirus claro).

En principio, es capaz de propagarse usando tanto las direcciones de correo obtenidas de las libretas de direcciones de Windows, como de Eudora (Address Book).

También las obtiene de las carpetas de elementos enviados del Outlook Express y del Netscape (en concreto busca archivos *.WAB, *.DBX, y *.MBX entre otros).

Como su antecesor, es capaz de borrar el CMOS, llenar con basura el FlashBIOS, y sobrescribir los primeros sectores físicos del disco duro.

Cuando un archivo infectado es ejecutado, el virus intenta localizar el explorador de Windows (Explorer.exe), en la memoria. Si tiene éxito, busca una sección donde pueda insertar su código, enganchándose a la función "TranslateMessage".

El programa utiliza sofisticadas técnicas anti-debugging, como las denominadas Structured Exception Handling (SEH), y hace uso de llamadas específicas del sistema a las API de Windows. También examina la presencia de alguna utilidad del tipo debugger (como Turbo Debugger, Soft-Ice, etc.) que se utilizan para examinar paso a paso el código que se ejecuta, intentando bloquearlas.

También es un riesgo para nuestra privacidad, al ser capaz de enviar por e-mail documentos confidenciales e imágenes privadas, a cualquier persona, sin nuestro conocimiento. Imagínese que usted es un proveedor, y le envía a uno de sus clientes la información destinada a otro, que resulta ser la competencia directa de aquél (uno de tantos ejemplos que se nos podrían ocurrir).

El virus llega a nosotros en un mensaje totalmente diferente a otros con el mismo virus.

El asunto, es generado al azar, pudiendo tener hasta 60 caracteres de largo. También será elegido así el texto del mensaje, parte del texto de un archivo seleccionado al azar entre los archivos que se encuentren en el disco duro del equipo afectado.

El nombre del adjunto, puede ser un ejecutable (infectado) elegido al azar, junto a cualquier documento, o incluso imágenes presentes en nuestra computadora (generalmente personales), con extensiones DOC, GIF y TXT, y que no están infectados.

Utiliza comandos SMTP para enviar sus mensajes.

El virus infecta todos los archivos en formato PE, menos los que tienen la extensión .DLL. Tampoco los infecta si su nombre comienza con GRPC, y su extensión no es ni EXE ni SCR.

Además, el gusano codifica los archivos infectados a partir del nombre de la máquina donde tiene lugar la infección. Para esto realiza una simple operación XOR de todo el código, con el nombre de la computadora. Esta acción tiene otra consecuencia. Un archivo infectado, no funcionará en otra computadora, al ser diferentes los nombres de las mismas.

Las acciones diferentes a las del Magistr original, son las siguientes:

1. Utilización del libro de direcciones del Eudora (lo toma del archivo eudora.ini).

2. Borrado de todos los archivos con la extensión .NTZ presentes en el disco del usuario infectado.

3. Finaliza ZoneAlarm, antes de conectarse a Internet, dejando a la computadora sin cortafuego para prevenirse de ataques externos. Para esto, usa la función FindWindow para buscar al programa activo, y la función Wm_quit para quitarlo (ver ZoneAlarm no es desactivado por el Magistr.B).

4. Agrega entradas a los archivos SYSTEM.INI y WIN.INI para ejecutar el W32.Magistr.Trojan.

5. Busca los archivos anteriores, en más directorios de Windows que la versión anterior (WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K, WINXP), en todas las unidades mapeadas en red, pudiendo infectar toda la red en segundos.

6. Los adjuntos poseen una extensión al azar entre las siguientes: EXE, BAT, PIF y COM. Ocasionalmente agrega archivos .GIF a los mensajes.

7. El troyano (cargado desde WIN.INI y SYSTEM.INI), sobrescribe los archivos NTLDR (Win NT/2K), y WIN.COM en cualquier unidad de disco en que estos archivos estén presentes. En su lugar, coloca un programa capaz de llenar de basura, el primer sector de la primera unidad de disco IDE presente.

8. Los iconos del escritorio pueden moverse en la misma dirección del puntero del ratón.

Para remover manualmente el virus, proceda así:

1. Ejecute uno o más antivirus actualizado (ver "Magistr.b. ¿Lo protege realmente su antivirus?"), y borre todos los archivos detectados como "Magistr" o "Magistr.b".

2. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

3. Si existe alguna referencia a los archivos del troyano en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
run= [nombre del troyano]

Debe quedar como:

[Windows]
run=

4. Grabe los cambios y salga del bloc de notas.

5. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

6. Busque lo siguiente:

[boot]
shell=Explorer.exe [Nombre del troyano]

y déjelo así:

[boot]
shell=Explorer.exe

7. Grabe los cambios y salga del bloc de notas

Finalmente, reinicie su PC y ejecute nuevamente un antivirus al día.

Más información:

15/mar/01 - W32/Magistr@MM. Sofisticado y destructivo
04/set/01 - Se propaga versión "mejorada" del destructivo Magistr
05/set/01 - Magistr.b. ¿Lo protege realmente su antivirus?
10/set/01 - ZoneAlarm no es desactivado por el Magistr.B

Fuentes: Kaspersky, Panda, Symantec, McAfee, Computer Associates
(c) Video Soft - http://www.videosoft.net.uy