ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Multi.Navrhar

Clase Virus
Plataforma Multi
Descripción

Detalles técnicos

Este es un virus multipartito que infecta tanto los documentos de MS Word como los controladores V95 de Windows95. El virus utiliza varios pasos en su forma de infección: a partir de un documento infectado o VxD, realiza tres pasos para infectar los archivos del mismo formato que su archivo host original: documento de Word -> dropper PE EXE -> controlador VxD -> documento de Word y pronto.

Cuando Word abre un archivo infectado, el virus suelta su parte PE en los discos y lo ejecuta. Este gotero busca los controladores V95 de Windows95 y los infecta. La próxima vez que Windows cargue sus controladores, el virus "permanece residente", engancha las llamadas al sistema e infecta los documentos que se abren.


+ ——— + + ——— + + ——— + + ——— +
| Infectado | -> | PE EXE | -> | + ——— + -> | + ——— + ->
documento | | cuentagotas | || VxD | || + ——— + ->
| | | | || controladores | ||| Documentos | ->
| | | | || | ||| |
| | | | || | ||| |
+ ——— + + ——— + + | | + || |
+ ——— + + | |
+ ——— +

Modo de infección "superpuesto"

Tanto en los archivos VxD como en los documentos de Word, el virus utiliza una forma bastante inteligente de almacenar sus datos y códigos. En ambos tipos de archivos, el virus coloca en el documento / cuerpo del controlador solo un cargador de virus, un pequeño programa que carga y ejecuta el código de virus principal. En documentos infectados de Word, este cargador es una macro breve escrita en Word Basic (así como en todos los demás virus de macro de Word), en VxD es un programa pequeño de 32 bits.

El código de virus principal se coloca fuera del cuerpo real del documento de Word y VxD, mientras que al infectar el virus simplemente agrega este código principal al final del archivo y no hace las correcciones necesarias para "vincularlo" con datos / código del archivo de host. Parece una superposición de datos / código: este código no está vinculado con la estructura del archivo de host de ninguna manera, y no hay referencias a esta superposición de código y datos en el archivo principal (excepto el cargador de virus).


Infectado Windows95 VxD: documento de Word infectado:
+ ———— + + ———— +
| Original | | Original |
| Código VxD | | documento |
+ ———— + | datos |
| Cargador de virus | <- 32 bits + ———— +
+ ———— + programa | Cargador de virus | <- programa macro
| El resto de | + ———— + <- fin de los datos del documento legal
| Código VxD | | Datos adicionales | <- código / datos principales del virus
| y datos | | |
| | + ———— + <- fin del archivo de disco
| |
+ ———— + <- fin del código VxD legal
| Datos adicionales | <- código / datos principales del virus
| |
+ ———— + <- fin del archivo de disco
Cuando Windows carga tal VxD, no presta atención a los datos / códigos adicionales y no los carga en la memoria. Cuando Word abre un documento infectado, tampoco carga estos datos adicionales en la memoria; además, corta estos datos al cerrar un documento. La única forma de que el virus acceda a dicha superposición es abrir el documento infectado / VxD como un archivo de disco, buscar la superposición y leerla, y el virus hace eso.

Al infectar diferentes objetos, el virus aumenta su longitud en diferentes números debido a diferentes estructuras de datos de "superposición". La longitud de los documentos se incrementa en 17245 bytes, los controladores VxD tienen más 12288 bytes en su extremo después de la infección, la longitud del virus cuentagotas RUNME.EXE es de 16208 bytes.

Apertura de un documento infectado

La forma más común de contraer una infección hoy en día no es recibir programas infectados, sino documentos infectados. Entonces, con 100: 1, un usuario obtendrá y abrirá un documento infectado, no un VxD infectado (¿alguien intercambia VxD, excepto los programadores?).

En los documentos infectados, el macro cargador de virus se denomina AutoOpen, esto es automacro y Word lo ejecuta automáticamente cuando se abre el documento. Esta macro asigna un bloque de memoria (función de palabra HeapAlloc), abre el archivo de host (documento), busca los datos de superposición (código de virus principal), lo lee y lo coloca en el archivo C: RUNME.EXE recién creado (mediante CreateFileA, SetFilePointer, ReadFile, WriteFile, CloseHandle funciones).

A continuación, la macro del virus ejecuta el archivo C: RUNME.EXE (por instrucciones de Word "Shell") y el cuentagotas del virus C: RUNME.EXE toma el control, localiza e infecta los controladores de Windows.

Infecting VxD Drivers

En primer lugar, cuando se ejecuta el RUNME.EXE, el código del virus comprueba la versión de Windows y sale de inmediato, si la versión de Windows es 3.xx o menos (vago, es realmente necesario ese chequeo – RUNME.EXE es PE de 32 bits -programa, por lo que no es capaz de ejecutarlo en Windowses anteriores).

Luego, el virus localiza el directorio de Windows, salta al subdirectorio SYSTEM, busca e infecta el conjunto de archivos VxD, si están allí:


EISA.VXD, FILESEC.VXD, ISAPNP.VXD, LOGGER.VXD, LPT.VXD, LPTENUM.VXD,
MSMOUSE.VXD, MSSP.VXD, NWSERVER.VXD, NWSP.VXD, PARALINK.VXD, PCI.VXD,
SERENUM.VXD, SERIAL.VXD, SPAP.VXD, SPLITTER.VXD, UNIMODEM.VXD, VFD.VXD,
VGATEWAY.VXD, WSIPX.VXD, WSOCK.VXD
Al infectar archivos VxD, el virus analiza y modifica sus estructuras internas, escribe su código de carga en el medio del archivo y agrega su código principal como datos adicionales al final del archivo.

Los controladores de Windows VxD tienen el formato de archivo interno LE EXE (Ejecutable lineal). Este formato es bastante complejo de entender: es mucho más complejo que el formato de archivo DOS EXE, más complejo que el formato de archivo Windows NewEXE. Se parece al formato Portable Executable (PE), pero es absolutamente diferente.

Tomaría muchas páginas para describir todos los detalles que el virus hace al infectar VxDs. En resumen: lee LE Entry Table y Object Tables, busca la sección de código VxD y la revisa. Los archivos LE tienen una estructura de sección (páginas). Si el código / fecha no cubre la sección, la sección simplemente se llena con cero bytes hasta su límite. El virus usa esa característica, y solo aumenta la longitud del código real en la sección y agrega allí el código de su cargador (214 bytes), si hay suficiente espacio libre en la sección.

Para evitar una infección duplicada, el virus solo utiliza la fecha y la hora del archivo: establece una nueva fecha y hora para los archivos al infectarlos, y los verifica antes de la infección. Esta fecha / hora es el 4 de enero de 1997, 4:28 a.m. Si alguien cambia este sello para los archivos infectados de VxD, el virus los infectará dos veces y más.

El virus no busca otros archivos VxD que los listados anteriormente, ni cuando el cuentagotas RUNME.EXE está activo, ni en ningún momento después. El virus tampoco borra RUNME.EXE después de infectar VxDs, por lo que un usuario puede ejecutar este archivo manualmente, si le gusta este nombre.

Infectar documentos

Cuando Windows95 carga VxD infectado, el cargador de virus (de manera similar al cargador en documentos infectados) asigna un bloque de memoria, busca al final del archivo host leer su "superposición", lo lee como datos y luego lo ejecuta como un programa (¡vivat protección del núcleo de Windows95!). El instalador de virus toma el control, engancha IFS API e intercepta llamadas OpenFile.

Cuando se abre cualquier archivo, el virus compara la extensión del nombre de archivo con ".DOC", lee el encabezado del archivo y lo comprueba para obtener el sello OLE2, luego analiza los formatos OLE2 internos, crea al final del documento nueva macro llamada AutoOpen, escribe su cargador de macros hasta allí y agrega como "superposición" su código principal. El virus también convierte los documentos de Microsoft al formato de plantilla, al igual que los virus de macro comunes de Word.

El virus no infecta documentos con una longitud de archivo que no está alineada con el sector (después de infectar los documentos no se alinea), este hecho lo utiliza para separar los documentos infectados y no infectados. El virus tampoco infecta documentos con una longitud superior a 800 Kb. La rutina de infección de virus simplemente no puede analizar formatos de documentos grandes (en dichos documentos aparecen campos adicionales). El virus comprueba el identificador interno en los documentos y los infecta solo si tienen el formato de PanEuro Word 6/7.

El MS Word debe cortar el código de superposición de virus al final del documento (pero deje la macro AutoOpen) mientras guarda el archivo infectado, y en mis experimentos con Word 7.0 lo hizo. A pesar de esto, los documentos con extensiones de nombre de archivo DOC fueron inmediatamente reinfectados por virus. En el caso de una extensión que no sea DOC, los documentos permanecen semiinfectados; tienen la macro de virus AutoOpen, pero no tienen datos de "superposición" de virus. Como resultado, el virus no puede propagarse cuando se abren dichos documentos.

El algoritmo de infección de virus no está libre de errores. En el caso de que una plantilla ya tenga macro (s), el virus corrompe la estructura interna de los documentos, y estas macro (s) permanecen invisibles. En segundo lugar, es imposible eliminar el virus AutoOpen macro de documentos infectados mediante el uso del entorno de Word (Herramientas / Macro / Eliminar u Organizador) – Word no puede hacer eso y se bloquea con el mensaje de error estándar de Windows:


Este programa ha realizado una operación ilegal
y será cerrado

Últimas notas

Debido a su forma de infección con los controladores VxD, el virus no puede infectar el sistema WindowsNT, pero al experimentar con virus en Windows95 no se descubrieron problemas (excepto los problemas con las plantillas de Word, que se describieron anteriormente). El virus no se manifiesta de ninguna manera y no causa ningún mensaje de error del sistema cuando se ejecuta bajo Windows95.

Me parece que la rutina de infección VxD tiene un error (el virus no analiza correctamente LE Object Table), y el virus corromperá los controladores VxD "no estándar", pero todos los VxD de la lista de virus son "compatibles con virus" y ejecutar Windows95 con VxD infectados (dos veces infectados) no causa problemas. Tal vez debido a este posible error, el autor del virus no incluyó la llamada a la infección VxD en su apertura, sino solo documentos de Word.

El virus tiene varias cadenas de texto, algunas de ellas parecen ser las huellas de la versión del virus en modo de depuración:


no se puede encontrar el fixupp de DDB
no puede infectar este archivo
archivo vxd no válido
exitosamente infectado
archivo infectado
Otras cadenas contienen los nombres de las funciones de Windows que se utilizan al infectar los controladores VxD:

KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTime
GetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFile
SetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA CloseHandle
El resto de las cadenas de texto visibles son comentarios del autor del virus en inglés y en algún estilo corrupto similar a un hacker:

Virus HZDS (el 1er. Infector directo de VxD del mundo y el infector de 2nd Word 6/7)
(c) Navrhar (DESIGNeR en inglés), Eslovaquia, 21-oct-97
Diz virus ha sido escrito en la ciudad de Banska Bystrica, Eslovaquia.
W l ¢ 0m 0 h HZD $ v¡ sg ¡gZ!
GZ: Vyv0j,, sy & pount; m & Ugly & pount; s, MG & pount ;, gh m 0k.
$ p ¢ ¡l GZ: Æ h0 0� Æ ¢ hy.6 93 (¡w 0 1s, h h0 0
l0 gs 0 y0 – �0 ly)
M y � ¢ ks g0 s 0 0: HZD $, Vl 0 M. (D¡ ¢ 0)
$ p0 s0 y * -Z1 (hs VX-æ¡ v)
La traducción del último bloque de texto se ve de la siguiente manera:

¡Bienvenido al área de saludos del virus HZDS!
Greetz: Vyvojar, Ender, Nasty Lamer y Ugly Luser, MGL,
Nightmare Joker,
Saludos especiales: Autor de Anarchy.6093 (quería ser el primero, pero el honor
te pertenece, desafortunadamente)
Muchos follajes van a: HZDS, V1ado M. (Dictador)
Patrocinado por * -Zine (la mejor VX-zine de la historia)


Enlace al original