|
VSantivirus No. 1148 Año 7, Viernes 29 de agosto de 2003
MBA/First. El primer virus que infecta planos de MapInfo
http://www.vsantivirus.com/mba-first.htm
Nombre: MBA/First
Tipo: Virus de MapBasic
Alias: MBA.First
Reportado por: Kaspersky Labs
Fecha: 27/ago/03
Plataforma: Windows 32-bit
Se trata del primer virus conocido que infecta planos de MapInfo. Se activa al abrir el plano infectado y procede a infectar el entorno de MapInfo y cada plano posteriormente abierto en esa aplicación.
El virus posee una rutina que se ejecuta de acuerdo a una fecha específica del sistema; esta rutina corrompe los archivos de planos (cartografía).
MapInfo es un Sistema de Información Geográfica, uno de los líderes mundiales en soluciones de software y análisis de cartografía y geografía. Este software es desarrollado por MapInfo Corporation. MapInfo utiliza el lenguaje de programación MapBasic para crear aplicaciones personalizadas que son usadas con MapInfo Professional o "módulos" especiales de MapInfo. Map Basic es muy similar a la sintaxis de Microsoft Visual Basic pero posee "declaraciones" adicionales para planos y manipulación de mapas.
El virus está escrito en el lenguaje MapBasic, compilado dentro de una aplicación binaria que se ejecuta con MapInfo. Cuando se abre el plano infectado el virus obtiene el control e infecta el entorno de MapInfo.
Para hacer esto el virus se copia dentro de la carpeta donde está instalado el programa de MapInfo, con el siguiente nombre:
0gPiSs1.dll
El virus pone dentro del inicio del área de trabajo del archivo llamado STARTUP.WOR, la instrucción que lanza el código del virus. El inicio del área de trabajo se ejecuta automáticamente antes de que se ejecute cualquier otra área de trabajo, y así el virus obtiene control cada vez que MapInfo se inicia.
Cuando el virus se activa, silenciosamente recolecta los nombres de los archivos de todos los planos abiertos para usarlos posteriormente.
Cuando MapInfo se cierra, el virus examina la fecha del sistema. Si el día es lunes, entonces ejecuta su primer rutina que enumera el nombre de los planos recolectados durante la sesión actual.
Existe una probabilidad del 1% de que el virus intente eliminar los archivos de los planos con las siguientes extensiones:
.map
.tif
.pcx
.jpg
Una segunda rutina se activa cada viernes 13, pero además de hacer lo mismo que la primera, tiene un 14% de probabilidad de borrar los archivos mencionados antes. Adicionalmente, esta rutina sobrescribe el archivo MAPINFOW.PRJ con el siguiente texto escrito en Ruso (codificado en Cyrilic KOI-8R):
"--- ëÏÏÒÄÉÎÁÔÙ ---"
"äÏÌÇÏÔÁ / ûÉÒÏÔÁ", 3, 62, 8, -74, 40.5,
40.6666666667, 41.0333333333, 2000000, 100000
Si la rutina no se activa, el virus infecta todos los planos recolectados. Para hacer esto, sobrescribe el archivo del plano con extensión .MIF, con el código del propio virus, e inserta el comando para ejecutar este archivo al abrir dicho plano.
Este virus es identificado por Kaspersky Anti-Virus (descubridor del mismo), el cuál elimina el código del virus de los archivos. Sin embargo, no restaura los archivos eliminados por las rutinas del virus. Para ello, debe restaurar los archivos borrados por el virus con extensiones .MAP, .TIF, .PCX y .JPG desde alguna copia de respaldo.
También es necesario restaurar el archivo MAPINFOW.PRJ en la carpeta del programa MapInfo desde un respaldo, o desde la subcarpeta Tools.
[Descripción aportada por Kaspersky Labs México]
Más información:
Los virus ahora atacan a los programas cartográficos
http://www.vsantivirus.com/ev-mba-first.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|