English
Russian
Japanese
LatAm
Türkiye
Brasil
France
Český
Deutschland
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Virus.Win32.HIV
| Clase | Virus |
| Plataforma | Win32 |
| Descripción |
Detalles técnicosSe trata de un virus Win32 residente en memoria peligroso por proceso que infecta archivos PE EXE (aplicaciones de Windows) y archivos MSI, se "actualiza" a sí mismo desde Internet y posee capacidades de difusión de correo electrónico. El virus está encriptado y utiliza la tecnología "Entry Point Obscuring" para ocultarse en los archivos infectados. El virus tiene aproximadamente 6K de longitud. El virus utiliza trucos contra la depuración y detiene una máquina si se detecta SoftICE u otro depurador en el sistema. El virus también intenta desactivar la protección de archivos de Windows. Para hacerlo, infecta los archivos del sistema que son responsables de la protección de archivos: sobrescribe el archivo DEFAILT.SFC con datos vacíos (en Win98) o SFCFILES.DLL (en Win2000). Este truco debería funcionar en Win98 y no debería funcionar en Win2000, donde el sistema bloquea el acceso a SFCFILES.DLL o lo restaura inmediatamente desde la copia de seguridad. InfecciónPara infectar archivos * .EXE, el virus los busca en el directorio actual y se escribe al final del archivo. Para obtener el control, el virus no modifica la dirección de inicio del programa, sino que busca las subrutinas del programa estándar encabezado / pie de página y remueve un pie de página con una instrucción JMP_Virus. Como resultado, el virus no puede activarse en el momento en que se está ejecutando un archivo infectado, sino más bien cuando se ejecuta una rutina infectada (cuando la rama correspondiente obtiene el control). Luego, el virus permanece en la memoria como un componente del programa infectado, engancha varias funciones de acceso a archivos e infecta archivos EXE a los que accede el programa infectado. Entonces, el virus está activo en la memoria de Windows hasta el momento en que finaliza una aplicación infectada. En algunos casos, al ejecutarse en una máquina NTFS, el virus crea una secuencia NTFS adicional (ADS) con el nombre ": HIV" ("filename.ext: HIV") en archivos infectados y escribe el siguiente texto de "copyright" allí: Esta célula ha sido infectada por el virus VIH, generación:
donde NNNNNNNN es el número de "generación" de virus. Archivos de MSIEl virus también intercepta el acceso a los archivos MSI, los abre, busca los archivos PE EXE y los infecta al sobrescribir la rutina de entrada del programa con un código que muestra el siguiente mensaje cuando se ejecuta:
donde NNNNNNNN es el número de "generación" de virus. Infección de archivos HTMLEl virus también busca los archivos * .HTML en el directorio actual y los reemplaza con archivos XML al agregarles una extensión .XML:
Luego, el virus oculta los archivos XML infectados mediante un truco: establece una clave de registro que hace que Windows no muestre extensiones para archivos XML; cambia el ícono de archivos XML; y coloca el icono de archivos HTML estándar allí. Como resultado, Explorer muestra los archivos HTML infectados (que en realidad son archivos XML después de ser infectados) como archivos HTML estándar en la lista de archivos. Por lo tanto, un "Archivo.html.xml" infectado se mostrará como "Archivo.html" con un ícono de archivo HTML. El programa de script escrito por el virus en los archivos HTML infectados obtiene acceso a una zona de Internet y abre el archivo allí:
En realidad, este no es un archivo TXT, sino más bien un archivo XML procesado por Internet Explorer como una página web estándar (a pesar de que el archivo tiene una extensión TXT). El programa de script, en un archivo PRESS.TXT, descarga un archivo MSXMLP.EXE del mismo sitio y lo registra en la sección de registro de ejecución automática:
El archivo MSXMLP.EXE que se encuentra allí es una aplicación estándar de Windows con una nueva versión de virus. Entonces, el autor del virus puede "actualizar" el virus en máquinas infectadas o instalar un troyano. Difusión de correo electrónicoEl virus abre la base de datos WAB (Libreta de direcciones de Windows), obtiene direcciones de correo electrónico desde allí y envía mensajes que contienen lo siguiente:
El archivo PRESS.TXT adjunto es el mismo programa de script XML utilizado por el virus al infectar archivos HTML. Entonces, cuando un usuario activa PRESS.TXT, se descarga una copia de virus a la computadora y se registra en el registro del sistema. El virus guarda ese archivo PRESS.TXT en el directorio raíz de la unidad C: C: PRESS.TXT. Al enviar mensajes, el virus usa la biblioteca MAPI, por lo que no depende del sistema de correo instalado en la computadora. La versión de virus conocida tiene un error en la rutina de envío de correos y no puede enviar mensajes. |
Enlace al original |
|
| Descubra las estadísticas de las amenazas que se propagan en su región |