Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W95/Prizm (Chernobil2). Sofisticada destrucción
 
VSantivirus No. 205 - Año 5 - Lunes 29 de enero de 2001

Nombre: W95/Prizm (Chernobil2)
Tipo: Virus infector de archivos PE (Win32)
Alias: Chernobil2, Win95.Prizm, Win9x.Chazhma
Fecha: 3/nov/00
Origen: Rusia
Tamaño: 4,608 bytes

Es un peligroso virus de Windows 9x, residente en memoria, parásito y polimórfico. Infecta ejecutables PE (Win32), con las extensiones .EXE y .DLL.

Instalado en memoria, la parte residente es capaz de infectar todos los archivos en ese formato, que son abiertos o ejecutados por Windows.

Cuando se ejecuta desde un archivo previamente infectado, el virus busca todas las aplicaciones que se están ejecutando, localiza los nombres de los archivos relacionados, e intenta infectarlos.

Cuando se produce la infección, el virus escribe su código al final de los archivos infectados, y modifica el punto de entrada en el correspondiente cabezal (header) de la víctima. También agrega allí la cadena "SpAm", la que utiliza como identificador. Los archivos infectados aumentan su tamaño en 4,608 bytes.

Para permanecer en memoria, el virus cambia al modo kernel (el corazón de Windows), pasando de Ring3 a Ring0 (partes muy sensibles del código operativo) y se asigna un bloque de memoria.

Cuando el virus salta a la memoria recientemente asignada, su código se ejecuta entonces como una rutina del kernel (Ring0, el corazón del sistema), y el virus puede interceptar las llamadas a todos los archivos de Windows (esto no es posible en Ring3, donde se ejecutan las aplicaciones de los usuarios). Algo muy similar a lo que hacen virus como el CIH, Babylonia, y otros.

El virus se engancha entonces a las interrupciones INT 21h del DOS, a las llamadas a las APIs de IFS (funciones de acceso al disco) y a las rutinas de mensajes del sistema (broadcast messages).

La INT 21h (que corresponde a múltiples funciones usadas por el DOS) es usada por el virus solo para comprobar que él mismo está en memoria y no volver a instalarse.

Los ganchos a los APIs de IFS, interceptan el acceso y apertura de cualquier archivo. El virus pasa entonces el control a la rutina de infección, la cuál infecta todos los archivos Win32 .EXE y .DLL cuando estos son abiertos.

Los ganchos a las rutinas de mensajes del sistema (broadcast messages), detectan si existe un nuevo disco en la unidad de CD. En este caso, el virus intenta ejecutar un comando para escribir datos en el disco insertado. Esto es un intento de destruir los discos usados en una grabadora de CD, pero falla debido a un bug del código del virus, y nunca llega a destruir un disco.

Los días 1, 11, 13 y 26 de cualquier mes, al ejecutarse cada programa o librería infectada, el virus borra al azar un sector de cada unidad lógica (los sobreescribe con su propio código), y despliega una "pantalla azul de la muerte" con este mensaje:

Virus Win9x.Chazhma(Chernobil2)

Made by SpAmC0der->[PRiZM]->Vladivostok->Russia
Battle of life. Capital!!!

to be continued... Win32.Kursk2000

Fuente: Kaspersky, McAfee

 

Copyright 1996-2001 Video Soft BBS