Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Pe_Resur (Win32/Insurrection). Explorando nuevas técnicas
 
VSantivirus No. 182 - Año 5 - Sábado 6 de enero de 2001

Nombre: Pe_Resur
Tamaño: 163,840 bytes
Tipo: Infector de ejecutables Win32
Alias: Win32.Resur, Resur, W32/Resur, W32.Resurdbg, Win32/Resurrection
Variantes: Resur.b

La primera vez que se ejecuta, este virus infecta archivos PE (ejecutables de Win32) en la carpeta C:\WINDOWS. Los archivos infectados no se comportarán normalmente y producirán algunas veces errores de operaciones ilegales al funcionar. Más allá de ello, este virus no posee una rutina destructiva, por lo que parece ser parte de un experimento de nuevas técnicas a explotar en el futuro.

Cuando el virus se ejecuta, se muestra un botón de [ACEPTAR] en una caja de mensajes titulada:

Win32/Resurrection by Tcp/29A

El virus se mantiene entonces activo en memoria, y cuando un archivo infectado es abierto, toma el control, ejecuta su rutina de infección y finalmente le devuelve el control al archivo.

El proceso iniciado (thread), sigue activo en segundo plano mientras el proceso principal iniciado por el ejecutable infectado que lo contiene está presente. Este proceso intentará escanear las carpetas y subcarpetas de todos los discos disponibles, infectando los archivos ejecutables Win32 PE (Portable Executable).

El virus utiliza un complejo mecanismo de infección. Procesa la estructura del archivo a infectar e incorpora allí su código.

El cuerpo del virus en si (escrito en Visual C++), es un ejecutable PE estándar conteniendo cuatro secciones: código, datos, tabla de recursos y tabla de reubicación (fixup).

Dependiendo de la estructura del archivo a infectar, el virus agrega sus secciones al cuerpo de la víctima en secciones separadas, o agrega alguna de sus secciones a otras ya existentes, insertándose en algunos casos a si mismo antes de la última sección del archivo infectado, aumentando su tamaño en 163,840 bytes.

También realiza los cambios necesarios en el header (cabezal) del archivo infectado, para modificar la dirección de inicio del mismo (ahora apuntará al comienzo del virus), su tamaño, etc.

Algunos datos dentro del virus, son tratados erróneamente como instrucciones de su código, y esto ocasiona que los archivos infectados a veces no se ejecuten correctamente o aparezcan mensajes de "Operaciones ilegales" al hacerlo.

El virus también contiene este texto, el cuál solo es mostrado en algunos casos:

I already told you this but...
Warning! Don't close this window
Win32/Resurrection by Tcp/29A
Hey you, stupid
29A

Variante: Resur.b

Es una re-hechura del virus original. En lugar de mostrar el mensaje anterior, el virus obliga al navegador de Internet en uso, a abrir el sitio Web: "http://sennaspy.tsx.org". Esta versión solo contiene este texto:

Senna Spy Fenasoft 2000 Virus

Algunas veces, los archivos infectados no infectarán otros archivos. Tampoco se ejecutarán otras rutinas destructivas.

Fuente: Kaspersky Antivirus y Trend Micro

 

Copyright 1996-2001 Video Soft BBS