|
VSantivirus No. 362 - Año 5 - Jueves 5 de julio de 2001
Nombre: W32/Smash
Tipo: Infector de ejecutables Win32
Alias: win95.smash, W95.Smash
Fecha: junio 2001
Tamaño: 10 Kb
Una de las características de este virus, que infecta los archivos ejecutables de Windows, es que el
14 de julio es capaz de sobrescribir el archivo del sistema
C:\IO.SYS.
Luego de que el BIOS inicia el sistema, IO.SYS es el primer archivo que se ejecuta al arrancar Windows. De ese modo, el virus puede activar allí sus propias rutinas destructivas, que consisten en el formateo del disco duro.
El tamaño del virus es de apenas unos 10 Kb. Puede permanecer residente en memoria cuando un archivo infectado se ejecuta, pero como utiliza llamadas a funciones específicas de Windows 9x (VXD), no puede propagarse bajo Windows NT.
Infecta archivos de formato PE (Portable Executable) de Win32, escribiendo su código al final de estos. Los archivos PE son los que tienen las extensiones
.EXE, .DLL, .OCX, .SCR y .CPL.
Cuando el virus se ejecuta un 14 de julio, se dispara una de sus rutinas, la que modifica el archivo
C:\IO.SYS cambiándolo por su propio código, y luego muestra el siguiente mensaje:
Virus Warning!
Your computer has been infected by virus.
Virus name is 'SMASH', project D version 0x0A.
Created and compiled by Domitor.
Seems like your bad dream comes true...
Después de esto, reinicia el sistema, y como el primer archivo que toma el control es el
IO.SYS infectado, el virus ejecuta su propia rutina, mostrando el siguiente texto:
Formating hard disk...
Luego de ello, procede a borrar toda la información de su disco duro, mediante un formateo completo.
La única forma de evitarlo, sería bootear la computadora desde un disquete de inicio. Pero tenga en cuenta que para ello, se deberá evitar que el PC se reinicie, apagándolo luego que aparezca el mensaje anteriormente mencionado
(Virus Warning!).
El virus posee además sofisticadas técnicas polimórficas y de encriptamiento, las que hacen muy difícil su detección y la desinfección de los archivos infectados.
La técnica utilizada, similar a otros virus como el "BadBoy"), consiste en dividir su código y los datos, en numerosos bloques, los que son mezclados y copiados en forma aleatoria en cada archivo infectado, logrando de esta forma que prácticamente no existan dos archivos infectados con la misma estructura. Para poder manejar los diferentes bloques, el virus genera una tabla de información, con punteros hacia los diferentes bloques (rutinas de instalación, de infección, propagación, etc.).
Además el código resultante de la unión de todos los bloques, es encriptado con una rutina polimórfica.
El código se copia al final de los archivos infectados, creándose en ellos una nueva sección. Por esta razón, también se modifica el cabezal (header) del archivo PE, a los efectos que el inicio del programa sea la nueva sección creada, la que cambia su nombre en forma aleatoria.
Cuando el virus se instala en la memoria, permanece allí aún cuando el programa que lo ejecutó finalice su tarea. Para hacer esto, apela a diferentes trucos de programación que le permiten saltar del
ring3 (la capa de software en la que se ejecutan los programas), al
ring0, el nivel más cercano al procesador, y donde se ejecuta el Kernel, el corazón de Windows.
Una vez allí, utiliza las funciones IFS (Installable File System) y API (Application Program
Interface), para actuar en la memoria como un driver VXD, e interceptar la apertura de los archivos de Windows (algo parecido a lo que hace el W95/CIH
entre otros).
Cuando estos archivos son buscados o abiertos por el sistema, el virus procede a infectarlos, ejecutando silenciosamente sus rutinas y todos sus demás procesos.
Esta forma de actuar hace muy difícil su detección cuando el virus está activo en memoria.
Para limpiar este virus de un sistema infectado, deberá ejecutar primero uno o más antivirus actualizados, preferentemente desde un disquete de inicio o en modo "Solo símbolo del sistema", usando por ejemplo
AVPlite, la versión MS-DOS de Kaspersky Antivirus (AVP).
Otra opción es utilizar F-Prot (gratuito para uso personal), ejecutándolo desde un disquete de inicio, como se explica en nuestro sitio:
VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)
Fuente: KasperskyLab México (www.avp-mx.com)
(c) Video Soft - http://www.videosoft.net.uy
|
|