ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win32.RemEx

Clase Virus
Plataforma Win32
Descripción

Detalles técnicos

El virus es bastante grande, está escrito en Microsoft Visual C ++ y tiene unos 125K. El código de virus original ocupa aproximadamente 14K, rutinas GZIP – 20K, bibliotecas de tiempo de ejecución C – 40K. Otras áreas de datos están ocupadas por datos de virus / C ++, recursos, etc.

El virus tiene una estructura bastante inusual: los archivos infectados tienen segmentos de código y datos, así como tres recursos que contienen archivos ejecutables comprimidos. El primer recurso contiene el NT4 PSAPI.DLL estándar que utiliza el virus para acceder a los procesos en la memoria del sistema.

El segundo recurso es el código del virus original en sí (incluido el mismo PSAPI.DLL comprimido en el recurso). Esta copia del código de virus se usa como datos originales para instalar el virus en el sistema e infectar archivos EXE.

El tercer recurso es el archivo de host que se extrae y descomprime cuando el virus necesita ejecutar el programa de host.

Registro del sistema: al instalar su controlador SYS en el sistema, el virus utiliza las llamadas a la API NT estándar. Esto hace que el sistema registre los controladores de virus en el registro del sistema: se crea HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemote Explorer.

Archivos temporales: al comprimir / descomprimir archivos, el virus necesita archivos temporales. Los crea en el directorio temporal de Windows con los nombres aleatorios ~ xxxdddd.TMP (donde 'x' son letras y 'd' son dígitos).

Currículum

El virus es el primer infector NT nativo "residente en la memoria", por lo que podría verse como un super virus. En realidad, el virus fue escrito por un desarrollador de nivel medio que tenía acceso a la documentación NT DeviceDevelopmentKit.

El virus no engancha ningún evento NT, no utiliza ningún protocolo de red, no intenta acceder a las contraseñas y no extiende su copia a través de la red global. Además, los virus parásitos comunes de DOS tienen las mismas capacidades de propagación de red que este virus: también pueden infectar archivos en unidades compartidas remotas, permanecer en la memoria del sistema, etc.

Esto es solo un virus parásito estándar, pero con la capacidad de infección del servicio NT. No es más complejo que otros virus de Windows ya conocidos, y definitivamente no es más complejo que el conocido troyano BO (BackOrifice).

Este virus no es para nada un shock: es el esperado virus WindowsNT-service.


Enlace al original