ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Soluciones para:
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Vulnerabilidades Amenazas
Inicio Amenazas Virus Multi

Virus.Multi.Navrhar

Clase
Virus
Plataforma
Multi

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Virus

Los virus se replican en los recursos de la máquina local. A diferencia de los gusanos, los virus no usan los servicios de red para propagarse o penetrar en otras computadoras. Una copia de un virus llegará a las computadoras remotas solo si el objeto infectado, por alguna razón no relacionada con la función del virus, está activado en otra computadora. Por ejemplo: al infectar discos accesibles, un virus penetra en un archivo ubicado en un recurso de red, un virus se copia en un dispositivo de almacenamiento extraíble o infecta un archivo en un dispositivo extraíble, un usuario envía un correo electrónico con un archivo adjunto infectado.

Más información

Plataforma: Multi

No platform description

Descripción

Detalles técnicos

Este es un virus multipartito que infecta tanto los documentos de MS Word como los controladores V95 de Windows95. El virus utiliza varios pasos en su forma de infección: a partir de un documento infectado o VxD, realiza tres pasos para infectar los archivos del mismo formato que su archivo host original: documento de Word -> dropper PE EXE -> controlador VxD -> documento de Word y pronto.

Cuando Word abre un archivo infectado, el virus suelta su parte PE en los discos y lo ejecuta. Este gotero busca los controladores V95 de Windows95 y los infecta. La próxima vez que Windows cargue sus controladores, el virus "permanece residente", engancha las llamadas al sistema e infecta los documentos que se abren. 

+ --------- + + --------- + + --------- + + --------- +| Infectado | -> | PE EXE | -> | + --------- + -> | + --------- + ->documento | | cuentagotas | || VxD | || + --------- + ->| | | | || controladores | ||| Documentos | ->| | | | || | ||| || | | | || | ||| |+ --------- + + --------- + + | | + || |+ --------- + + | |+ --------- +

Modo de infección "superpuesto"

Tanto en los archivos VxD como en los documentos de Word, el virus utiliza una forma bastante inteligente de almacenar sus datos y códigos. En ambos tipos de archivos, el virus coloca en el documento / cuerpo del controlador solo un cargador de virus, un pequeño programa que carga y ejecuta el código de virus principal. En documentos infectados de Word, este cargador es una macro breve escrita en Word Basic (así como en todos los demás virus de macro de Word), en VxD es un programa pequeño de 32 bits.

El código de virus principal se coloca fuera del cuerpo real del documento de Word y VxD, mientras que al infectar el virus simplemente agrega este código principal al final del archivo y no hace las correcciones necesarias para "vincularlo" con datos / código del archivo de host. Parece una superposición de datos / código: este código no está vinculado con la estructura del archivo de host de ninguna manera, y no hay referencias a esta superposición de código y datos en el archivo principal (excepto el cargador de virus). 

Infectado Windows95 VxD: documento de Word infectado:+ ------------ + + ------------ +| Original | | Original || Código VxD | | documento |+ ------------ + | datos || Cargador de virus | <- 32 bits + ------------ ++ ------------ + programa | Cargador de virus | <- programa macro| El resto de | + ------------ + <- fin de los datos del documento legal| Código VxD | | Datos adicionales | <- código / datos principales del virus| y datos | | || | + ------------ + <- fin del archivo de disco| |+ ------------ + <- fin del código VxD legal| Datos adicionales | <- código / datos principales del virus| |+ ------------ + <- fin del archivo de disco
Cuando Windows carga tal VxD, no presta atención a los datos / códigos adicionales y no los carga en la memoria. Cuando Word abre un documento infectado, tampoco carga estos datos adicionales en la memoria; además, corta estos datos al cerrar un documento. La única forma de que el virus acceda a dicha superposición es abrir el documento infectado / VxD como un archivo de disco, buscar la superposición y leerla, y el virus hace eso.

Al infectar diferentes objetos, el virus aumenta su longitud en diferentes números debido a diferentes estructuras de datos de "superposición". La longitud de los documentos se incrementa en 17245 bytes, los controladores VxD tienen más 12288 bytes en su extremo después de la infección, la longitud del virus cuentagotas RUNME.EXE es de 16208 bytes.

Apertura de un documento infectado

La forma más común de contraer una infección hoy en día no es recibir programas infectados, sino documentos infectados. Entonces, con 100: 1, un usuario obtendrá y abrirá un documento infectado, no un VxD infectado (¿alguien intercambia VxD, excepto los programadores?).

En los documentos infectados, el macro cargador de virus se denomina AutoOpen, esto es automacro y Word lo ejecuta automáticamente cuando se abre el documento. Esta macro asigna un bloque de memoria (función de palabra HeapAlloc), abre el archivo de host (documento), busca los datos de superposición (código de virus principal), lo lee y lo coloca en el archivo C: RUNME.EXE recién creado (mediante CreateFileA, SetFilePointer, ReadFile, WriteFile, CloseHandle funciones).

A continuación, la macro del virus ejecuta el archivo C: RUNME.EXE (por instrucciones de Word "Shell") y el cuentagotas del virus C: RUNME.EXE toma el control, localiza e infecta los controladores de Windows.

Infecting VxD Drivers

En primer lugar, cuando se ejecuta el RUNME.EXE, el código del virus comprueba la versión de Windows y sale de inmediato, si la versión de Windows es 3.xx o menos (vago, es realmente necesario ese chequeo - RUNME.EXE es PE de 32 bits -programa, por lo que no es capaz de ejecutarlo en Windowses anteriores).

Luego, el virus localiza el directorio de Windows, salta al subdirectorio SYSTEM, busca e infecta el conjunto de archivos VxD, si están allí: 

EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD,MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD,SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD,VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXD
Al infectar archivos VxD, el virus analiza y modifica sus estructuras internas, escribe su código de carga en el medio del archivo y agrega su código principal como datos adicionales al final del archivo.

Los controladores de Windows VxD tienen el formato de archivo interno LE EXE (Ejecutable lineal). Este formato es bastante complejo de entender: es mucho más complejo que el formato de archivo DOS EXE, más complejo que el formato de archivo Windows NewEXE. Se parece al formato Portable Executable (PE), pero es absolutamente diferente.

Tomaría muchas páginas para describir todos los detalles que el virus hace al infectar VxDs. En resumen: lee LE Entry Table y Object Tables, busca la sección de código VxD y la revisa. Los archivos LE tienen una estructura de sección (páginas). Si el código / fecha no cubre la sección, la sección simplemente se llena con cero bytes hasta su límite. El virus usa esa característica, y solo aumenta la longitud del código real en la sección y agrega allí el código de su cargador (214 bytes), si hay suficiente espacio libre en la sección.

Para evitar una infección duplicada, el virus solo utiliza la fecha y la hora del archivo: establece una nueva fecha y hora para los archivos al infectarlos, y los verifica antes de la infección. Esta fecha / hora es el 4 de enero de 1997, 4:28 a.m. Si alguien cambia este sello para los archivos infectados de VxD, el virus los infectará dos veces y más.

El virus no busca otros archivos VxD que los listados anteriormente, ni cuando el cuentagotas RUNME.EXE está activo, ni en ningún momento después. El virus tampoco borra RUNME.EXE después de infectar VxDs, por lo que un usuario puede ejecutar este archivo manualmente, si le gusta este nombre.

Infectar documentos

Cuando Windows95 carga VxD infectado, el cargador de virus (de manera similar al cargador en documentos infectados) asigna un bloque de memoria, busca al final del archivo host leer su "superposición", lo lee como datos y luego lo ejecuta como un programa (¡vivat protección del núcleo de Windows95!). El instalador de virus toma el control, engancha IFS API e intercepta llamadas OpenFile.

Cuando se abre cualquier archivo, el virus compara la extensión del nombre de archivo con ".DOC", lee el encabezado del archivo y lo comprueba para obtener el sello OLE2, luego analiza los formatos OLE2 internos, crea al final del documento nueva macro llamada AutoOpen, escribe su cargador de macros hasta allí y agrega como "superposición" su código principal. El virus también convierte los documentos de Microsoft al formato de plantilla, al igual que los virus de macro comunes de Word.

El virus no infecta documentos con una longitud de archivo que no está alineada con el sector (después de infectar los documentos no se alinea), este hecho lo utiliza para separar los documentos infectados y no infectados. El virus tampoco infecta documentos con una longitud superior a 800 Kb. La rutina de infección de virus simplemente no puede analizar formatos de documentos grandes (en dichos documentos aparecen campos adicionales). El virus comprueba el identificador interno en los documentos y los infecta solo si tienen el formato de PanEuro Word 6/7.

El MS Word debe cortar el código de superposición de virus al final del documento (pero deje la macro AutoOpen) mientras guarda el archivo infectado, y en mis experimentos con Word 7.0 lo hizo. A pesar de esto, los documentos con extensiones de nombre de archivo DOC fueron inmediatamente reinfectados por virus. En el caso de una extensión que no sea DOC, los documentos permanecen semiinfectados; tienen la macro de virus AutoOpen, pero no tienen datos de "superposición" de virus. Como resultado, el virus no puede propagarse cuando se abren dichos documentos.

El algoritmo de infección de virus no está libre de errores. En el caso de que una plantilla ya tenga macro (s), el virus corrompe la estructura interna de los documentos, y estas macro (s) permanecen invisibles. En segundo lugar, es imposible eliminar el virus AutoOpen macro de documentos infectados mediante el uso del entorno de Word (Herramientas / Macro / Eliminar u Organizador) - Word no puede hacer eso y se bloquea con el mensaje de error estándar de Windows: 

Este programa ha realizado una operación ilegaly será cerrado

Últimas notas

Debido a su forma de infección con los controladores VxD, el virus no puede infectar el sistema WindowsNT, pero al experimentar con virus en Windows95 no se descubrieron problemas (excepto los problemas con las plantillas de Word, que se describieron anteriormente). El virus no se manifiesta de ninguna manera y no causa ningún mensaje de error del sistema cuando se ejecuta bajo Windows95.

Me parece que la rutina de infección VxD tiene un error (el virus no analiza correctamente LE Object Table), y el virus corromperá los controladores VxD "no estándar", pero todos los VxD de la lista de virus son "compatibles con virus" y ejecutar Windows95 con VxD infectados (dos veces infectados) no causa problemas. Tal vez debido a este posible error, el autor del virus no incluyó la llamada a la infección VxD en su apertura, sino solo documentos de Word.

El virus tiene varias cadenas de texto, algunas de ellas parecen ser las huellas de la versión del virus en modo de depuración: 

no se puede encontrar el fixupp de DDBno puede infectar este archivoarchivo vxd no válidoexitosamente infectadoarchivo infectado
Otras cadenas contienen los nombres de las funciones de Windows que se utilizan al infectar los controladores VxD: 
KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTimeGetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFileSetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA CloseHandle
El resto de las cadenas de texto visibles son comentarios del autor del virus en inglés y en algún estilo corrupto similar a un hacker: 
Virus HZDS (el 1er. Infector directo de VxD del mundo y el infector de 2nd Word 6/7)(c) Navrhar (DESIGNeR en inglés), Eslovaquia, 21-oct-97Diz virus ha sido escrito en la ciudad de Banska Bystrica, Eslovaquia.W l ¢ 0m 0 h HZD $ v¡ sg ¡gZ!GZ: Vyv0j,, sy & pount; m & Ugly & pount; s, MG & pount ;, gh m 0k.$ p ¢ ¡l GZ: Æ h0 0� Æ ¢ hy.6 93 (¡w 0 1s, h h0 0l0 gs 0 y0 - �0 ly)M y � ¢ ks g0 s 0 0: HZD $, Vl 0 M. (D¡ ¢ 0)$ p0 s0 y * -Z1 (hs VX-æ¡ v)
La traducción del último bloque de texto se ve de la siguiente manera: 
¡Bienvenido al área de saludos del virus HZDS!Greetz: Vyvojar, Ender, Nasty Lamer y Ugly Luser, MGL,Nightmare Joker,Saludos especiales: Autor de Anarchy.6093 (quería ser el primero, pero el honorte pertenece, desafortunadamente)Muchos follajes van a: HZDS, V1ado M. (Dictador)Patrocinado por * -Zine (la mejor VX-zine de la historia)

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Kaspersky Next:
ciberseguridad redefinida
Leer más
Related articles
11 July 2024
Securelist
Cómo el phishing selectivo se convierte en phishing masivo
27 June 2024
Securelist
Ciberseguridad en las pymes: necesaria ante las crecientes amenazas
24 June 2024
Securelist
El backdoor XZ: Análisis del hook
24 June 2024
Securelist
Análisis de la solidez de las contraseñas de los usuarios
10 June 2024
Securelist
Cómo burlar la autenticación de doble factor con phishing y bots OTP
03 June 2024
Securelist
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles
¿Has encontrado algún error en la descripción de esta vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
¿Has encontrado una nueva amenaza o vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
Soluciones para
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Select language
Sorting
Amenaza
Confirm changes?
Your message has been sent successfully.