ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Soluciones para:
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Vulnerabilidades Amenazas
Inicio Amenazas Virus DOS

Virus.DOS.ArjVirus

Clase
Virus
Plataforma
DOS

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Virus

Los virus se replican en los recursos de la máquina local. A diferencia de los gusanos, los virus no usan los servicios de red para propagarse o penetrar en otras computadoras. Una copia de un virus llegará a las computadoras remotas solo si el objeto infectado, por alguna razón no relacionada con la función del virus, está activado en otra computadora. Por ejemplo: al infectar discos accesibles, un virus penetra en un archivo ubicado en un recurso de red, un virus se copia en un dispositivo de almacenamiento extraíble o infecta un archivo en un dispositivo extraíble, un usuario envía un correo electrónico con un archivo adjunto infectado.

Más información

Plataforma: DOS

No platform description

Descripción

Detalles técnicos

Es un virus peligroso que no reside en la memoria. Busca los archivos y los infecta. Afortunadamente, solo busca el formato de archivadores. Los archivos de archivo para infección deben estar en estándar ARJ solamente. Estos archivos de archivos son el resultado del trabajo del compresor ARJ.EXE.

ARJ.EXE es un programa de archivador que permite comprimir y almacenar uno o más archivos (incluidos los subdirectorios) en uno o varios archivos (en argot - arjive) en formato comprimido. Este software tiene derechos de autor (c) 1990-1993 por Robert K Jung.

Este virus, que es un gusano más que un virus estándar de DOS, tiene 5000 bytes de longitud. Actualiza estos archivos por su copia (virus). En la ejecución, este infector busca los archivos con extensión ARJ utilizando la máscara "* .arj" (los archivos con extensión ARJ son creados por la utilidad ARJ.EXE y contienen los archivos comprimidos). Busca archivos ARJ en el directorio actual y en todos los directorios principales.

Si se encuentra el archivo ARJ, el virus crea un archivo temporal con un nombre seleccionado al azar y una extensión COM. Este nombre consta de cuatro letras de 'A' t0 'V'; la limitación 'V' se debe a que este virus usa el límite 0Fh para el número de letra, la letra 15 (0Fh) es 'V'. Los nombres de los resultados se ven como BHPL.COM, NLJJ.COM, OKPD.COM etc. Luego el virus se escribe a sí mismo (5000 bytes) en este archivo COM, y para ocultarlo agrega al archivo los bytes basura de la longitud seleccionada al azar. El virus comprueba que la longitud de esa basura no debe exceder la longitud máxima del archivo COM ejecutable. La longitud de los archivos del gusano del resultado es más de 5000 bytes. Los 5000 bytes son la longitud del cuerpo del gusano que se almacena en el archivo de cualquier infección.

Luego, el virus inserta ese archivo en el archivo que se encontró. Lo hace de la manera más fácil: el virus obliga a la utilidad ARJ.EXE a hacerlo. Uno de los modificadores ARJ.EXE es un carácter "a", obliga a agregar el archivo (s) en el archivo ARJ. Y el virus usa esta opción, ejecuta el ARJ.EXE con el carácter "a" usando la función C estándar. La cadena que se ejecuta se ve así: 

c: command.com / c arj a  .com
dónde es el nombre con la extensión del archivo ARJ que se encontró, es el nombre seleccionado aleatorio de cuatro bytes de longitud descrito anteriormente. El modificador "/ c" hace que COMMAND.COM ejecute el programa apuntado (ARJ.EXE) e inmediatamente sale.

Al ejecutar este comando, el archivador ARJ.EXE comprime y agrega el gusano al archivo de almacenamiento que se encontró. Luego, el virus elimina el archivo temporal y busca el siguiente archivo ARJ. Si no hay archivos en el directorio actual, el virus salta al padre. Si el directorio actual es el directorio raíz del disco, el virus regresa a DOS.

Una de las características de este infector es la infección duplicada. En la ejecución del archivo, el virus no verifica su presencia y ¿cómo puede hacerlo? Revisar el archivo interno no es una tarea fácil, y veo que el autor de este virus no lo configuró (infección duplicada) como un objeto. Se dio cuenta de la nueva idea de la manera más fácil, no más.

El virus genera nombres aleatorios de los archivos de gusanos. A veces puede generar el nombre que está presente en el archivo ARJ que es para la infección. Como resultado, ese archivo será sobrescrito por el virus y el contenido de ese archivo se perderá. Por supuesto, la probabilidad de ejecución del archivo del gusano crece en ese caso.

Para ocultar su propagación, el virus engancha INT 10h - la interrupción de video. Lo establece en la instrucción IRET que deshabilita la salida estándar a la pantalla. Esta función oculta el virus, pero si se producen errores en la actividad del virus, el programa ARJ.EXE o DOS mostrará el mensaje de error (por ejemplo, "Error de protección contra escritura en la unidad A:") y esperará la respuesta. Pero el virus desactiva la salida, y el usuario verá solo la pantalla en blanco. Se ve como la computadora cuelga. Por cierto, la máquina virtual de DOS bajo MS-Windows cambia para el modo de texto de pantalla completa en el error de protección de escritura, y es imposible cambiar a otra tarea. Última nota: este virus contiene la cadena corta de texto interno: 

* .arj .. 0000.com / c arj ac: command.com

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Kaspersky Next:
ciberseguridad redefinida
Leer más
Related articles
18 April 2024
Securelist
Historia del backdoor XZ: Análisis inicial
20 March 2024
Securelist
Malware para Android, malware para Android y aún más malware para Android
13 March 2024
Securelist
El Estado del Stalkerware en 2023 y 2024
07 March 2024
Securelist
El spam y el phishing en 2023
05 March 2024
Securelist
Tunelización de red con … QEMU?
26 February 2024
Securelist
Virología móvil 2023
¿Has encontrado algún error en la descripción de esta vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
¿Has encontrado una nueva amenaza o vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
Soluciones para
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Select language
Sorting
Amenaza
Confirm changes?
Your message has been sent successfully.