ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win32.HIV

Clase Virus
Plataforma Win32
Descripción

Detalles técnicos

Se trata de un virus Win32 residente en memoria peligroso por proceso que infecta archivos PE EXE (aplicaciones de Windows) y archivos MSI, se "actualiza" a sí mismo desde Internet y posee capacidades de difusión de correo electrónico. El virus está encriptado y utiliza la tecnología "Entry Point Obscuring" para ocultarse en los archivos infectados. El virus tiene aproximadamente 6K de longitud.

El virus utiliza trucos contra la depuración y detiene una máquina si se detecta SoftICE u otro depurador en el sistema.

El virus también intenta desactivar la protección de archivos de Windows. Para hacerlo, infecta los archivos del sistema que son responsables de la protección de archivos: sobrescribe el archivo DEFAILT.SFC con datos vacíos (en Win98) o SFCFILES.DLL (en Win2000). Este truco debería funcionar en Win98 y no debería funcionar en Win2000, donde el sistema bloquea el acceso a SFCFILES.DLL o lo restaura inmediatamente desde la copia de seguridad.

Infección

Para infectar archivos * .EXE, el virus los busca en el directorio actual y se escribe al final del archivo. Para obtener el control, el virus no modifica la dirección de inicio del programa, sino que busca las subrutinas del programa estándar encabezado / pie de página y remueve un pie de página con una instrucción JMP_Virus. Como resultado, el virus no puede activarse en el momento en que se está ejecutando un archivo infectado, sino más bien cuando se ejecuta una rutina infectada (cuando la rama correspondiente obtiene el control).

Luego, el virus permanece en la memoria como un componente del programa infectado, engancha varias funciones de acceso a archivos e infecta archivos EXE a los que accede el programa infectado. Entonces, el virus está activo en la memoria de Windows hasta el momento en que finaliza una aplicación infectada.

En algunos casos, al ejecutarse en una máquina NTFS, el virus crea una secuencia NTFS adicional (ADS) con el nombre ": HIV" ("filename.ext: HIV") en archivos infectados y escribe el siguiente texto de "copyright" allí:

Esta célula ha sido infectada por el virus VIH, generación:

0xNNNNNNNN

donde NNNNNNNN es el número de "generación" de virus.

Archivos de MSI

El virus también intercepta el acceso a los archivos MSI, los abre, busca los archivos PE EXE y los infecta al sobrescribir la rutina de entrada del programa con un código que muestra el siguiente mensaje cuando se ejecuta:

[Win32.HiV] por Benny / 29A
Esta célula ha sido infectada por el virus VIH, generación: 0xNNNNNNNN

donde NNNNNNNN es el número de "generación" de virus.

Infección de archivos HTML

El virus también busca los archivos * .HTML en el directorio actual y los reemplaza con archivos XML al agregarles una extensión .XML:

Limpiar archivo : File.html
Archivo infectado : File.html.xml

Luego, el virus oculta los archivos XML infectados mediante un truco: establece una clave de registro que hace que Windows no muestre extensiones para archivos XML; cambia el ícono de archivos XML; y coloca el icono de archivos HTML estándar allí. Como resultado, Explorer muestra los archivos HTML infectados (que en realidad son archivos XML después de ser infectados) como archivos HTML estándar en la lista de archivos. Por lo tanto, un "Archivo.html.xml" infectado se mostrará como "Archivo.html" con un ícono de archivo HTML.

El programa de script escrito por el virus en los archivos HTML infectados obtiene acceso a una zona de Internet y abre el archivo allí:

http://coderz.net/benny/viruses/press.txt

En realidad, este no es un archivo TXT, sino más bien un archivo XML procesado por Internet Explorer como una página web estándar (a pesar de que el archivo tiene una extensión TXT). El programa de script, en un archivo PRESS.TXT, descarga un archivo MSXMLP.EXE del mismo sitio y lo registra en la sección de registro de ejecución automática:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
VIH = c: MSXMLP.EXE

El archivo MSXMLP.EXE que se encuentra allí es una aplicación estándar de Windows con una nueva versión de virus. Entonces, el autor del virus puede "actualizar" el virus en máquinas infectadas o instalar un troyano.

Difusión de correo electrónico

El virus abre la base de datos WAB (Libreta de direcciones de Windows), obtiene direcciones de correo electrónico desde allí y envía mensajes que contienen lo siguiente:

De : press@microsoft.com
Enviado : 06/06/2010 22:00
Asunto : presentación XML
Mensaje :

Por favor, echa un vistazo a esta presentación XML y envíanos tu opinión.
Si tiene alguna pregunta sobre la presentación XML, escríbanos.
Gracias,
El equipo de desarrollo de XML, Microsoft Corp.

Archivo adjunto : press.txt

El archivo PRESS.TXT adjunto es el mismo programa de script XML utilizado por el virus al infectar archivos HTML. Entonces, cuando un usuario activa PRESS.TXT, se descarga una copia de virus a la computadora y se registra en el registro del sistema.

El virus guarda ese archivo PRESS.TXT en el directorio raíz de la unidad C: C: PRESS.TXT.

Al enviar mensajes, el virus usa la biblioteca MAPI, por lo que no depende del sistema de correo instalado en la computadora.

La versión de virus conocida tiene un error en la rutina de envío de correos y no puede enviar mensajes.


Enlace al original