ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Java.BeanHive

Clase Virus
Plataforma Java
Descripción

Detalles técnicos

La tecnología utilizada en este virus tiene varias ventajas. Esta forma de infección multicomponente permite que el virus oculte su código en los archivos infectados: la longitud de los archivos crece por poco valor, y después de una breve mirada, el código del virus insertado parece ser inofensivo.

La combinación starter-main también permite a los escritores de virus "actualizar" el virus con nuevas versiones simplemente reemplazando el código principal del virus en su servidor.

Es necesario tener en cuenta que el virus solo puede replicarse en condiciones muy limitadas. Es absolutamente imposible infectar el sistema que se ejecuta como applet de Java en cualquiera de los buscadores web populares. La protección de seguridad estándar cancela cualquier intento de acceder a los archivos del disco, o incluso descargar archivos Java remotos.

El virus solo puede propagarse corriendo como un archivo de disco como aplicación Java utilizando una máquina Java.

Detalles técnicos

El iniciador de virus es un programa corto de Java de aproximadamente 40 líneas de código. Cuando toma el control, se conecta al servidor web remoto, descarga el código del virus principal que está guardado allí en el archivo BeanHive.class y lo ejecuta como una subrutina.

El código del virus principal también se divide en seis partes y se almacena en seis archivos diferentes de Java. Estos archivos se descargan del servidor web y se ejecutan en caso de necesidad:


BeanHive.class: búsqueda de archivos en el árbol de directorios
+ — e89a763c.class: análisis de formato de archivo
| — a98b34f2.class: funciones de acceso a archivos
| — be93a29f.class: preparando el archivo para la infección (part1)
| — c8f67b45.class: preparando el archivo para la infección (part2)
+ — dc98e742.class: inserción del iniciador del virus en el archivo de la víctima

Al infectar el virus analiza los formatos internos de Java, escribe en el archivo el código del iniciador como una subrutina "loadClass" y agrega al código del constructor de archivos la llamada para esta subrutina: loadClass ("BeanHive"). El parámetro pasado ("BeanHive") apunta al nombre del archivo remoto (en el servidor web) con el código de virus principal.


Enlace al original