Virus.Multi.Angela

Detalles técnicos

Se trata de un virus multipartito que infecta el sector MBR del disco duro, el sector de arranque de las unidades de disquete, el archivo DOS EXE y la propagación a través de canales IRC al infectar al cliente mIRC, así como enviarse por correo utilizando MS Outlook.

El virus puede aparecer en una computadora en un disquete infectado, como un archivo DOS EXE infectado o como un archivo adjunto infectado en un mensaje de correo electrónico.

El virus no tiene cargas útiles y no se manifiesta de ninguna manera, excepto uno; elimina el archivo:

C: WINDOWSSYSTEMIOSUBSYSHSFLOP.PDR

El virus necesita eliminar este archivo para forzar a Windows a operar los sectores de disco flexible usando un estilo antiguo INT 13h (esto es necesario para que el virus ejecute su infección de disco y rutinas sigilosas, ver más abajo).

Arranque desde un disco infectado

Al cargar desde un disco infectado, el virus engancha INT 13h (acceso al disco) e INT 1Ch (temporizador). Al usar un enganche de temporizador, el virus espera hasta que el sistema se inicie, luego engancha INT 21h (funciones de DOS) e infecta los archivos DOS EXE que se ejecutan. Al conectar INT 13h, el virus obtiene acceso a los disquetes e infecta sus sectores de arranque. El virus también realiza {stealth: Stealth} una función al acceder a sectores de disco infectados.

Ejecución del archivo EXE DOS infectado

Al ser ejecutado desde un archivo EXE DOS infectado, el virus infecta el sector MBR del disco duro, crea y registra su dropper DOS EXE, crea un programa de script VBS para difundirlo por correo electrónico y crea un script mIRC para ser enviado a canales IRC .

El virus cuentagotas tiene el nombre ANGELA.EXE y se crea en el directorio C: WINDOWSSYSTEM (si Windows está instalado en otro directorio, el virus no se puede propagar a IRC ni a correo electrónico). Este archivo está registrado para ejecutarse cada vez que se reinicia en el archivo C: AUTOEXEC.BAT. El virus escribe un comando allí para ejecutar este archivo cada vez que se reinicia, y agrega comentarios a ese archivo:

@ECHO OFF
c: windowssystemangela.exe
REM – ¡NO QUITAR!

El dropper de virus hace lo mismo que hace el virus en el archivo infectado DOS EXE; es decir, si se elimina alguno de los componentes del virus (secuencia de comandos VBS o mIRC), el virus lo volverá a crear en el próximo reinicio.

Envío

El virus crea el archivo ANGELA.VBS en el directorio de inicio de Windows y, como resultado, este script se activa con cada inicio de Windows. El programa en el acceso de script MS Outlook obtiene registros de la libreta de direcciones y envía una copia de virus (el cuentagotas ANGELA.EXE) a las primeras 20 direcciones que se encuentran allí. El mensaje tiene:

Asunto: ¡Finalmente lo encontré!
Cuerpo: Aquí están los archivos que me pediste …
Nombre del archivo adjunto: angela.exe

La secuencia de comandos luego elimina su archivo VBS, y no hay más mensajes infectados enviados durante la misma sesión de Windows, pero al reiniciar la computadora, el cuentagotas ANGELA.EXE se activará desde AUTOEXEC.BAT, y volverá a crear la VBS rutina de correo.

Infección de canales de IRC

El virus crea el archivo SCRIPT.INI en el directorio C: MIRC. Esta secuencia de comandos envía un cuentagotas ANGELA.EXE a todos los usuarios que se unen al canal de IRC infectado.