Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Es el virus de BAT parasítico polimórfico residente inofensivo no dañino. Busca los archivos BAT en el directorio actual y luego los infecta. Al infectar un archivo, el virus ejecuta el archivador ARJ para empacar los archivos necesarios. Si no hay ningún archivo ARJ.EXE en PATH, el virus no puede replicarse.

El archivo por lotes infectado contiene dos partes de código y datos. La primera parte (el encabezado) contiene cinco comandos DOS, la segunda parte (el resto) contiene un archivo BAT aleatorio que se comprime utilizando el archivador ARJ y una contraseña. Por lo tanto, el archivo infectado contiene las cadenas de texto (comandos de DOS) y los datos binarios (archivo ARJ).

Ese archivo BAT también contiene dos partes: el código del virus principal (comandos por lotes) y los datos comprimidos. Los datos comprimidos contienen varios archivos: el archivo de host, los datos de virus y los archivos de código. Los archivos infectados se ven como archivo ARJ dentro del archivo ARJ:

 + -------------------- +
 � Instrucciones BAT � - Encabezado 1, código de virus de inicio
 � -------------------- � 
 � Archivo ARJ: � - Random archivo BAT con ARJ
 � + ---------------- + � 
 � �Instrucciones BAT� � - Encabezado 2, código de virus principal
 � � ---------------- � � 
 � � Archivo ARJ: � � - El conjunto de archivos
 � � + ------------ + � � 
 � � AT BATALIA6.BAT� � � - Infección, generador polimórfico y aleatorio
Rutinas de � � ines ines ines ines
 � � fhostfile.BAT� � The - El archivo host original
 � � �ZAGL � � � - Archivo de datos de virus
 � � ULRULZ � � � - Archivo de datos de virus
 � � IN FINAL.BAT � � Dele - Elimina los archivos temporales y el subdirectorio
 � � + ------------ + � � 
 � + ---------------- + � 
+ -------------------- +

El encabezado 1 contiene cinco comandos que se seleccionan de varias variantes y tienen diferentes longitudes, por ejemplo:

 @echo off
rem arj e% 0% compec% -g5
C: COMMAND.COM nul / carj x% 0 -g2
: nul arj x% 0 -g7 C: COMMAND.COM
w HOST.BAT

@EcHo OfF
rem COMMAND.COM nul / carj x% 0 -g1
% comspec% nul / c arj e HOST.BAT -g3
: echo C: COMMAND.COM nul / carj x% 0
HOST.BAT

El archivo ARJ está encriptado con una contraseña seleccionada al azar, por lo que el virus no contiene bytes constantes y, como resultado, es el primer virus BAT polimórfico conocido.

Cuando se ejecuta, el virus (encabezado 1) ejecuta el archivador ARJ, extrae la segunda parte (archivo BAT) y lo ejecuta. El código de la segunda parte crea el directorio temporal, extrae los archivos del segundo archivo al directorio temporal, luego ejecuta las rutinas de búsqueda, infección y polimórficas, luego ejecuta el archivo de host y elimina los archivos temporales y el directorio temporal.

El código del virus contiene las siguientes cadenas de texto:

 : Death Virii Crew & Stealth Group en todo el mundo
: PRESENTES
: ¡El primer motor de mutación para BAT!
: Sin ASM!
: [BATalia6] y FMEB (c) por recordatorio

: // __ _
: + -------- /// ------ + ___ Magazine _ para VirMakers
: � +++ - ++ - // // - + - +++ � ___ ________________ _ ___________________ _ ________
: � ++ � // ///// � // __ ___ ___ ___ ___ ___ ___ ___ ___ _ ___ ___
: � ++ - + ///// ++ - ++ � _ _ _ __ __ _ _ __ _ _ _ _ _ _ _ _ _
: + ------ // // ------- + _ _ _ _ ___ ___ _ ___ ___ ___ _ ___ ____
: GRUPO // // EN TODO EL MUNDO _ _________________ _______________________________
:
: Box 10, Kiev 252148
: Box 15, Moscú 125080
: Cuadro 11, Lutsk 263020
:
: READINFECTEDVOICE
:
: (c) por recordatorio (22 de mayo de 1996)

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	BAT
Descripción	Detalles técnicos Es el virus de BAT parasítico polimórfico residente inofensivo no dañino. Busca los archivos BAT en el directorio actual y luego los infecta. Al infectar un archivo, el virus ejecuta el archivador ARJ para empacar los archivos necesarios. Si no hay ningún archivo ARJ.EXE en PATH, el virus no puede replicarse. El archivo por lotes infectado contiene dos partes de código y datos. La primera parte (el encabezado) contiene cinco comandos DOS, la segunda parte (el resto) contiene un archivo BAT aleatorio que se comprime utilizando el archivador ARJ y una contraseña. Por lo tanto, el archivo infectado contiene las cadenas de texto (comandos de DOS) y los datos binarios (archivo ARJ). Ese archivo BAT también contiene dos partes: el código del virus principal (comandos por lotes) y los datos comprimidos. Los datos comprimidos contienen varios archivos: el archivo de host, los datos de virus y los archivos de código. Los archivos infectados se ven como archivo ARJ dentro del archivo ARJ: + -------------------- + � Instrucciones BAT � - Encabezado 1, código de virus de inicio � -------------------- � � Archivo ARJ: � - Random archivo BAT con ARJ � + ---------------- + � � �Instrucciones BAT� � - Encabezado 2, código de virus principal � � ---------------- � � � � Archivo ARJ: � � - El conjunto de archivos � � + ------------ + � � � � AT BATALIA6.BAT� � � - Infección, generador polimórfico y aleatorio Rutinas de � � ines ines ines ines � � fhostfile.BAT� � The - El archivo host original � � �ZAGL � � � - Archivo de datos de virus � � ULRULZ � � � - Archivo de datos de virus � � IN FINAL.BAT � � Dele - Elimina los archivos temporales y el subdirectorio � � + ------------ + � � � + ---------------- + � + -------------------- + El encabezado 1 contiene cinco comandos que se seleccionan de varias variantes y tienen diferentes longitudes, por ejemplo: @echo off rem arj e% 0% compec% -g5 C: COMMAND.COM nul / carj x% 0 -g2 : nul arj x% 0 -g7 C: COMMAND.COM w HOST.BAT @EcHo OfF rem COMMAND.COM nul / carj x% 0 -g1 % comspec% nul / c arj e HOST.BAT -g3 : echo C: COMMAND.COM nul / carj x% 0 HOST.BAT El archivo ARJ está encriptado con una contraseña seleccionada al azar, por lo que el virus no contiene bytes constantes y, como resultado, es el primer virus BAT polimórfico conocido. Cuando se ejecuta, el virus (encabezado 1) ejecuta el archivador ARJ, extrae la segunda parte (archivo BAT) y lo ejecuta. El código de la segunda parte crea el directorio temporal, extrae los archivos del segundo archivo al directorio temporal, luego ejecuta las rutinas de búsqueda, infección y polimórficas, luego ejecuta el archivo de host y elimina los archivos temporales y el directorio temporal. El código del virus contiene las siguientes cadenas de texto: : Death Virii Crew & Stealth Group en todo el mundo : PRESENTES : ¡El primer motor de mutación para BAT! : Sin ASM! : [BATalia6] y FMEB (c) por recordatorio : // __ _ : + -------- /// ------ + ___ Magazine _ para VirMakers : � +++ - ++ - // // - + - +++ � ___ ________________ _ ___________________ _ ________ : � ++ � // ///// � // __ ___ ___ ___ ___ ___ ___ ___ ___ _ ___ ___ : � ++ - + ///// ++ - ++ � _ _ _ __ __ _ _ __ _ _ _ _ _ _ _ _ _ : + ------ // // ------- + _ _ _ _ ___ ___ _ ___ ___ ___ _ ___ ____ : GRUPO // // EN TODO EL MUNDO _ _________________ _______________________________ : : Box 10, Kiev 252148 : Box 15, Moscú 125080 : Cuadro 11, Lutsk 263020 : : READINFECTEDVOICE : : (c) por recordatorio (22 de mayo de 1996)
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.BAT.Batalia6

Detalles técnicos