ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.BAT.Batalia6

Clase Virus
Plataforma BAT
Descripción

Detalles técnicos

Es el virus de BAT parasítico polimórfico residente inofensivo no dañino. Busca los archivos BAT en el directorio actual y luego los infecta. Al infectar un archivo, el virus ejecuta el archivador ARJ para empacar los archivos necesarios. Si no hay ningún archivo ARJ.EXE en PATH, el virus no puede replicarse.

El archivo por lotes infectado contiene dos partes de código y datos. La primera parte (el encabezado) contiene cinco comandos DOS, la segunda parte (el resto) contiene un archivo BAT aleatorio que se comprime utilizando el archivador ARJ y una contraseña. Por lo tanto, el archivo infectado contiene las cadenas de texto (comandos de DOS) y los datos binarios (archivo ARJ).

Ese archivo BAT también contiene dos partes: el código del virus principal (comandos por lotes) y los datos comprimidos. Los datos comprimidos contienen varios archivos: el archivo de host, los datos de virus y los archivos de código. Los archivos infectados se ven como archivo ARJ dentro del archivo ARJ:

 + -------------------- +
 � Instrucciones BAT � - Encabezado 1, código de virus de inicio
 � -------------------- � 
 � Archivo ARJ: � - Random archivo BAT con ARJ
 � + ---------------- + � 
 � �Instrucciones BAT� � - Encabezado 2, código de virus principal
 � � ---------------- � � 
 � � Archivo ARJ: � � - El conjunto de archivos
 � � + ------------ + � � 
 � � AT BATALIA6.BAT� � � - Infección, generador polimórfico y aleatorio
Rutinas de � � ines ines ines ines
 � � fhostfile.BAT� � The - El archivo host original
 � � �ZAGL � � � - Archivo de datos de virus
 � � ULRULZ � � � - Archivo de datos de virus
 � � IN FINAL.BAT � � Dele - Elimina los archivos temporales y el subdirectorio
 � � + ------------ + � � 
 � + ---------------- + � 
+ -------------------- + 

El encabezado 1 contiene cinco comandos que se seleccionan de varias variantes y tienen diferentes longitudes, por ejemplo:

 @echo off
rem arj e% 0% compec% -g5
C: COMMAND.COM nul / carj x% 0 -g2
: nul arj x% 0 -g7 C: COMMAND.COM
w HOST.BAT

@EcHo OfF
rem COMMAND.COM nul / carj x% 0 -g1
% comspec% nul / c arj e HOST.BAT -g3
: echo C: COMMAND.COM nul / carj x% 0
HOST.BAT 

El archivo ARJ está encriptado con una contraseña seleccionada al azar, por lo que el virus no contiene bytes constantes y, como resultado, es el primer virus BAT polimórfico conocido.

Cuando se ejecuta, el virus (encabezado 1) ejecuta el archivador ARJ, extrae la segunda parte (archivo BAT) y lo ejecuta. El código de la segunda parte crea el directorio temporal, extrae los archivos del segundo archivo al directorio temporal, luego ejecuta las rutinas de búsqueda, infección y polimórficas, luego ejecuta el archivo de host y elimina los archivos temporales y el directorio temporal.

El código del virus contiene las siguientes cadenas de texto:

 : Death Virii Crew & Stealth Group en todo el mundo
: PRESENTES
: ¡El primer motor de mutación para BAT!
: Sin ASM!
: [BATalia6] y FMEB (c) por recordatorio

: // __ _
: + -------- /// ------ + ___ Magazine _ para VirMakers
: � +++ - ++ - // // - + - +++ � ___ ________________ _ ___________________ _ ________
: � ++ � // ///// � // __ ___ ___ ___ ___ ___ ___ ___ ___ _ ___ ___
: � ++ - + ///// ++ - ++ � _ _ _ __ __ _ _ __ _ _ _ _ _ _ _ _ _
: + ------ // // ------- + _ _ _ _ ___ ___ _ ___ ___ ___ _ ___ ____
: GRUPO // // EN TODO EL MUNDO _ _________________ _______________________________
:
: Box 10, Kiev 252148
: Box 15, Moscú 125080
: Cuadro 11, Lutsk 263020
:
: READINFECTEDVOICE
:
: (c) por recordatorio (22 de mayo de 1996) 

Enlace al original