Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde el 12 de agosto de 1996
Virus:
W95/Ussrhymn@m. Poco conocido, pero gran daño
|
|
Jueves 16 de noviembre de 2000
Nombre: W95/Ussrhymn@m
Alias: W32/Ussrhymn
Fecha: 9/nov/00
Tipo: Infector de ejecutables Win32 y gusano de Internet
Tamaño: 24 Kb
El virus Ussrhymn, infecta archivos bajo Windows 9x. Está basado en el W32/Bistro, aunque no incluye una de sus principales características, las que hacen al Bistro muy difícil de detectar.
El virus infecta archivos de Windows en formato PE (Portable Executable), y es capaz de agregar ejecutables infectados dentro de archivos .ZIP y .RAR.
También modifica WSOCK32.DLL (el API usado por Windows para las comunicaciones), e incluye soporte para archivos "UUEncodeados" (conversión de archivos a formato texto para su envío a través del correo).
Symantec -primera empresa en anunciarlo- nombró así este virus por su rutina maliciosa (payload), la cuál ejecuta el himno de la vieja República Soviética, el 1 de enero.
Pero no es esta "inocente" rutina lo que lo convierte en gran peligro para nuestro PC, sino su capacidad de modificar archivos ZIP y RAR, y ejecutables EXE en formato PE (Win32).
Esto causa en principio, daño a la estabilidad del sistema.
Además, es capaz de reiniciar el PC si encuentra un programa del tipo "debugger" (usado para desensamblar paso a paso el código de un ejecutable, con la intención de examinarlo).
También compromete la seguridad del sistema, ya que es capaz de deshabilitar el monitoreo de cualquier antivirus, u otro tipo de protección de programas.
Cuando una aplicación infectada es ejecutada, el virus toma el control, cambiando la dirección de ingreso a su código por la del propio virus, código que es insertado al principio de la primera sección, corriendo y modificando la del propio programa infectado.
El virus ejecuta primero una rutina "de espera", probablemente para emular la demora de abrirse de algunos ejecutables Win32, y para no despertar sospechas sobre su presencia.
Utiliza varias APIs de windows, como KERNEL32.DLL, ADVAPI32.DLL (para registrar las funciones que harán se ejecute al reinicio de Windows), y WINMM.DLL (para ejecutar su rutina musical). Los nombres de estas APIs no están guardadas en el virus. El virus utiliza un procedimiento original, basado en el "cheksum" (especie de firma identificatoria de acuerdo al tamaño, etc.) de cada API a utilizar. No guarda estos datos en ningún lugar, pero los obtiene cada vez que necesita una de esas funciones.
El virus busca archivos para infectar en la carpeta de WINDOWS, en la variable PATH, y en todos los discos duros, redes y también en unidades RAM, de la A a la Z. Infecta solo archivos .EXE y .SCR, no infecta
DLLs (a excepción de WSOCK32.DLL).
Para infectar el archivo WSOCK32.DLL, primero hace una copia, luego infecta esta copia, y luego modifica o crea el archivo WININIT.INI con las instrucciones necesarias para que en el próximo reinicio de Windows, la copia infectada tome el lugar de la verdadera. El virus se engancha entonces a las funciones SEND, RECV, y CONNECT EXPORTS de WSOCK32.DLL, con las intenciones de propagarse vía e-mail.
Luego, agrega archivos ejecutables infectados dentro de los ZIP y RAR (archivos comprimidos) que encuentre. Cuando uno de esos archivos sea ejecutado, el mismo no será visible desde la lista de tareas (CTRL+ALT+SUPR), e infectará otros archivos con los procedimientos relatados antes.
W32/Ussrhymn@m es hostil a cualquier antivirus residente (monitor), y a "debuggers" como SoftIce, siendo capaz de deshabilitarlos en memoria. También puede modificar los propios códigos de algunos antivirus. Utiliza sofisticadas rutinas para ello, y es capaz de acceder al Ring0 (en modo Kernel, el "corazón" de Windows).
Para removerlo, los archivos infectados deberán ser restaurados desde backups limpios o reinstalados, ya que debido a las modificaciones que realiza con los mismos, es prácticamente imposible "repararlos".
|
|
|