Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Es un virus peligroso que no reside en la memoria. Busca los archivos y los infecta. Afortunadamente, solo busca el formato de archivadores. Los archivos de archivo para infección deben estar en estándar ARJ solamente. Estos archivos de archivos son el resultado del trabajo del compresor ARJ.EXE.

ARJ.EXE es un programa de archivador que permite comprimir y almacenar uno o más archivos (incluidos los subdirectorios) en uno o varios archivos (en argot – arjive) en formato comprimido. Este software tiene derechos de autor (c) 1990-1993 por Robert K Jung.

Este virus, que es un gusano más que un virus estándar de DOS, tiene 5000 bytes de longitud. Actualiza estos archivos por su copia (virus). En la ejecución, este infector busca los archivos con extensión ARJ utilizando la máscara "* .arj" (los archivos con extensión ARJ son creados por la utilidad ARJ.EXE y contienen los archivos comprimidos). Busca archivos ARJ en el directorio actual y en todos los directorios principales.

Si se encuentra el archivo ARJ, el virus crea un archivo temporal con un nombre seleccionado al azar y una extensión COM. Este nombre consta de cuatro letras de 'A' t0 'V'; la limitación 'V' se debe a que este virus usa el límite 0Fh para el número de letra, la letra 15 (0Fh) es 'V'. Los nombres de los resultados se ven como BHPL.COM, NLJJ.COM, OKPD.COM etc. Luego el virus se escribe a sí mismo (5000 bytes) en este archivo COM, y para ocultarlo agrega al archivo los bytes basura de la longitud seleccionada al azar. El virus comprueba que la longitud de esa basura no debe exceder la longitud máxima del archivo COM ejecutable. La longitud de los archivos del gusano del resultado es más de 5000 bytes. Los 5000 bytes son la longitud del cuerpo del gusano que se almacena en el archivo de cualquier infección.

Luego, el virus inserta ese archivo en el archivo que se encontró. Lo hace de la manera más fácil: el virus obliga a la utilidad ARJ.EXE a hacerlo. Uno de los modificadores ARJ.EXE es un carácter "a", obliga a agregar el archivo (s) en el archivo ARJ. Y el virus usa esta opción, ejecuta el ARJ.EXE con el carácter "a" usando la función C estándar. La cadena que se ejecuta se ve así:



c: command.com / c arj a  .com

dónde es el nombre con la extensión del archivo ARJ que se encontró, es el nombre seleccionado aleatorio de cuatro bytes de longitud descrito anteriormente. El modificador "/ c" hace que COMMAND.COM ejecute el programa apuntado (ARJ.EXE) e inmediatamente sale.

Al ejecutar este comando, el archivador ARJ.EXE comprime y agrega el gusano al archivo de almacenamiento que se encontró. Luego, el virus elimina el archivo temporal y busca el siguiente archivo ARJ. Si no hay archivos en el directorio actual, el virus salta al padre. Si el directorio actual es el directorio raíz del disco, el virus regresa a DOS.

Una de las características de este infector es la infección duplicada. En la ejecución del archivo, el virus no verifica su presencia y ¿cómo puede hacerlo? Revisar el archivo interno no es una tarea fácil, y veo que el autor de este virus no lo configuró (infección duplicada) como un objeto. Se dio cuenta de la nueva idea de la manera más fácil, no más.

El virus genera nombres aleatorios de los archivos de gusanos. A veces puede generar el nombre que está presente en el archivo ARJ que es para la infección. Como resultado, ese archivo será sobrescrito por el virus y el contenido de ese archivo se perderá. Por supuesto, la probabilidad de ejecución del archivo del gusano crece en ese caso.

Para ocultar su propagación, el virus engancha INT 10h – la interrupción de video. Lo establece en la instrucción IRET que deshabilita la salida estándar a la pantalla. Esta función oculta el virus, pero si se producen errores en la actividad del virus, el programa ARJ.EXE o DOS mostrará el mensaje de error (por ejemplo, "Error de protección contra escritura en la unidad A:") y esperará la respuesta. Pero el virus desactiva la salida, y el usuario verá solo la pantalla en blanco. Se ve como la computadora cuelga. Por cierto, la máquina virtual de DOS bajo MS-Windows cambia para el modo de texto de pantalla completa en el error de protección de escritura, y es imposible cambiar a otra tarea. Última nota: este virus contiene la cadena corta de texto interno:



* .arj .. 0000.com / c arj ac: command.com

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	DOS
Descripción	Detalles técnicos Es un virus peligroso que no reside en la memoria. Busca los archivos y los infecta. Afortunadamente, solo busca el formato de archivadores. Los archivos de archivo para infección deben estar en estándar ARJ solamente. Estos archivos de archivos son el resultado del trabajo del compresor ARJ.EXE. ARJ.EXE es un programa de archivador que permite comprimir y almacenar uno o más archivos (incluidos los subdirectorios) en uno o varios archivos (en argot – arjive) en formato comprimido. Este software tiene derechos de autor (c) 1990-1993 por Robert K Jung. Este virus, que es un gusano más que un virus estándar de DOS, tiene 5000 bytes de longitud. Actualiza estos archivos por su copia (virus). En la ejecución, este infector busca los archivos con extensión ARJ utilizando la máscara "* .arj" (los archivos con extensión ARJ son creados por la utilidad ARJ.EXE y contienen los archivos comprimidos). Busca archivos ARJ en el directorio actual y en todos los directorios principales. Si se encuentra el archivo ARJ, el virus crea un archivo temporal con un nombre seleccionado al azar y una extensión COM. Este nombre consta de cuatro letras de 'A' t0 'V'; la limitación 'V' se debe a que este virus usa el límite 0Fh para el número de letra, la letra 15 (0Fh) es 'V'. Los nombres de los resultados se ven como BHPL.COM, NLJJ.COM, OKPD.COM etc. Luego el virus se escribe a sí mismo (5000 bytes) en este archivo COM, y para ocultarlo agrega al archivo los bytes basura de la longitud seleccionada al azar. El virus comprueba que la longitud de esa basura no debe exceder la longitud máxima del archivo COM ejecutable. La longitud de los archivos del gusano del resultado es más de 5000 bytes. Los 5000 bytes son la longitud del cuerpo del gusano que se almacena en el archivo de cualquier infección. Luego, el virus inserta ese archivo en el archivo que se encontró. Lo hace de la manera más fácil: el virus obliga a la utilidad ARJ.EXE a hacerlo. Uno de los modificadores ARJ.EXE es un carácter "a", obliga a agregar el archivo (s) en el archivo ARJ. Y el virus usa esta opción, ejecuta el ARJ.EXE con el carácter "a" usando la función C estándar. La cadena que se ejecuta se ve así: c: command.com / c arj a .com dónde es el nombre con la extensión del archivo ARJ que se encontró, es el nombre seleccionado aleatorio de cuatro bytes de longitud descrito anteriormente. El modificador "/ c" hace que COMMAND.COM ejecute el programa apuntado (ARJ.EXE) e inmediatamente sale. Al ejecutar este comando, el archivador ARJ.EXE comprime y agrega el gusano al archivo de almacenamiento que se encontró. Luego, el virus elimina el archivo temporal y busca el siguiente archivo ARJ. Si no hay archivos en el directorio actual, el virus salta al padre. Si el directorio actual es el directorio raíz del disco, el virus regresa a DOS. Una de las características de este infector es la infección duplicada. En la ejecución del archivo, el virus no verifica su presencia y ¿cómo puede hacerlo? Revisar el archivo interno no es una tarea fácil, y veo que el autor de este virus no lo configuró (infección duplicada) como un objeto. Se dio cuenta de la nueva idea de la manera más fácil, no más. El virus genera nombres aleatorios de los archivos de gusanos. A veces puede generar el nombre que está presente en el archivo ARJ que es para la infección. Como resultado, ese archivo será sobrescrito por el virus y el contenido de ese archivo se perderá. Por supuesto, la probabilidad de ejecución del archivo del gusano crece en ese caso. Para ocultar su propagación, el virus engancha INT 10h – la interrupción de video. Lo establece en la instrucción IRET que deshabilita la salida estándar a la pantalla. Esta función oculta el virus, pero si se producen errores en la actividad del virus, el programa ARJ.EXE o DOS mostrará el mensaje de error (por ejemplo, "Error de protección contra escritura en la unidad A:") y esperará la respuesta. Pero el virus desactiva la salida, y el usuario verá solo la pantalla en blanco. Se ve como la computadora cuelga. Por cierto, la máquina virtual de DOS bajo MS-Windows cambia para el modo de texto de pantalla completa en el error de protección de escritura, y es imposible cambiar a otra tarea. Última nota: este virus contiene la cadena corta de texto interno: * .arj .. 0000.com / c arj ac: command.com
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.DOS.ArjVirus

Detalles técnicos