ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win16.CyberTech

Clase Virus
Plataforma Win16
Descripción

Detalles técnicos

Es un virus parásito residente en memoria muy peligroso. Cuando se ejecuta un programa infectado, el virus infecta el archivo Windows KERNEL. Cuando se ejecuta un KERNEL infectado, el virus engancha la función WinExec y se escribe al final de los archivos NewEXE que se ejecutan.

Para infectar el KERNEL, el virus obtiene acceso a ese archivo mediante la función documentada GetModuleHandle, luego el virus escribe su código en el archivo KERNEL (KRNL286.EXE o KRNL386.EXE) y actualiza los datos del sistema en ese archivo para que el virus La dirección de la rutina WinExec en el KERNEL infectado apunta al código del virus. Luego, el virus devuelve el control al archivo NewEXE del host. Entonces, cuando se ejecuta el archivo infectado, el virus infecta solo el archivo KERNEL.

Cuando se carga el sistema con KERNEL infectado, el virus permanece residente en la memoria como parte del código KERNEL, y parcheó los puntos de dirección de WinExec al manejador de virus. Cuando se ejecuta un archivo NewEXE, el virus lo infecta.

El virus separa los archivos infectados y no infectados mediante el uso de la etiqueta ID "LROY" que el virus escribe en el campo de suma de comprobación en el encabezado NewEXE al infectar un archivo.

Según la fecha del sistema y el número del día, el virus muestra el cuadro de mensaje con el título:


Chicago 7: disturbios cibernéticos
y los mensajes adentro. El virus muestra mensajes diferentes, en abril a partir del 29 y el 1 de mayo:

Feliz aniversario, Los Angeles!
Anarquistas del mundo, ¡uníos!
En cualquier viernes anterior al día 13 de un mes:

Cuando se rompe el dique, no tengo dónde quedarme …
(Llorar no te ayudará. Orar no te hará ningún bien).
El 6 de marzo y en diciembre del 1 al 26:

Salva a la ballena, arponea un gato gordo.
Después de mostrar el mensaje, el virus borra los sectores del disco.

El virus también contiene las cadenas de texto:


USER KERNEL Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.)
Sommer 1993: 15 Windowscomputerviren
Próximamente: disturbios de la dieta. Mismo gran retrogusto – menos bytes.
Código fuente disponible por $ 15,000,000. Preguntas serias solamente
¿Por qué IBM necesita despedirme? Oh bueno, su pérdida.
Ecuación de FUD de McAfee: !!!!!! + ?????? = $$$$$$
Convict los cerdos
Este programa fue escrito en las ciudades de Hamburgo, Chicago, Seattle y
Berkeley. Copyright (C) 1993 Klash / Skism / George J / Phalcon / Henry Buscombe
y 2 ex-Softies, conocidos colectivamente como Chicago 7.


Enlace al original