ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Soluciones para:
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Vulnerabilidades Amenazas
Inicio Amenazas Virus Win9x

Virus.Win9x.CIH

Detect date
11/20/2002
Clase
Virus
Plataforma
Win9x

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Virus

Los virus se replican en los recursos de la máquina local. A diferencia de los gusanos, los virus no usan los servicios de red para propagarse o penetrar en otras computadoras. Una copia de un virus llegará a las computadoras remotas solo si el objeto infectado, por alguna razón no relacionada con la función del virus, está activado en otra computadora. Por ejemplo: al infectar discos accesibles, un virus penetra en un archivo ubicado en un recurso de red, un virus se copia en un dispositivo de almacenamiento extraíble o infecta un archivo en un dispositivo extraíble, un usuario envía un correo electrónico con un archivo adjunto infectado.

Más información

Plataforma: Win9x

No platform description

Descripción

Detalles técnicos

Este es un virus parásito específico de Windows95 / 98 que infecta los archivos de Windows PE (Portable Executable), que tiene aproximadamente 1Kbyte de longitud. También conocido como Chernobyl. Este virus fue encontrado "en la naturaleza" en Taiwán en junio de 1998, siendo lanzado por su autor de virus que estaba estudiando en una universidad local en ese momento. El virus (¿accidentalmente?) Se publicó en una conferencia local de Internet que lanzó el virus fuera de Taiwan. En una semana, el virus se encontró en Austria, Australia, Israel, Reino Unido y también se informó en varios otros países (Suiza, Suecia, EE. UU., Rusia, Chile, etc.).

En aproximadamente un mes, los archivos infectados se colocaron accidentalmente en varios sitios web en los EE. UU. (Sitios de distribución de software de juegos) que causaron una epidemia mundial de virus. Aproximadamente un año después de la aparición del virus el 26 de marzo de 1999, la "bomba de tiempo" en el código del virus causó una catástrofe informática cuando alrededor de medio millón de computadoras sufrieron daños debido a la infección del virus: todos perdieron datos en el disco duro. y muchos de ellos también han destruido el BIOS de la placa base (además de daños en los datos del disco duro). Este incidente fue significativo ya que no se habían conocido incidentes informáticos mundiales y terribles conocidos hasta la fecha en este momento.

Debido a que el día de la "bomba" del virus cae en el día de la catástrofe de Chernobyl que conmocionó al mundo el 26 de abril de 1986, el virus, ya conocido como "CIH", obtuvo su segundo nombre: "Chernobyl".

A pesar de esto, el autor del virus no relacionó su "bomba" con Chernobyl (tal vez nunca había oído hablar de Chernobyl). Parece que el día de la "bomba" fue seleccionado por otra razón. La primera versión del virus (que afortunadamente no salió de Taiwán) fue lanzada el 26 de abril de 1998, por lo que el virus celebró su "cumpleaños" el 26 de abril de 1999.

Cómo funciona el virus

El virus se instala en la memoria de Windows, engancha las llamadas de acceso a archivos e infecta los archivos EXE que se abren. Dependiendo de la fecha del sistema (ver a continuación), el virus ejecuta su rutina de activación. El virus tiene errores y, en algunos casos, detiene la computadora cuando se ejecuta una aplicación infectada.

La rutina de activación del virus opera con los puertos de BIOS Flash e intenta sobrescribir la memoria Flash con "basura". Esto solo es posible si la placa base y el conjunto de chips permiten escribir en la memoria Flash. Por lo general, la escritura en la memoria flash se puede desactivar mediante un interruptor DIP, sin embargo, esto depende del diseño de la placa base. Desafortunadamente, hay placas base modernas que no pueden protegerse mediante un interruptor DIP; también, algunas de ellas no prestan atención a la posición del interruptor y esta protección no tiene ningún efecto. Algunos otros diseños de placa base ofrecen protección por escrito que puede ser deshabilitada / reemplazada por software.

La rutina de disparo luego sobrescribe los datos en todos los discos duros instalados. El virus utiliza llamadas directas de grabación en disco para lograr esto y evita la protección antivirus estándar del BIOS al sobrescribir los sectores MBR y de arranque.

Existen tres versiones de virus "originales" que están estrechamente relacionadas y solo difieren en algunas partes de su código. Tienen diferentes longitudes, textos dentro del código de virus y fecha de activación: 

Longitud Texto Fecha de disparo Encontrado en el salvaje1003 CIH 1.2 TTIT el 26 de abril SÍ1010 CIH 1.3 TTIT el 26 de abril NO1019 CIH 1.4 TATUNG el 26 de cualquier mes SÍ - muchos informes

Detalles técnicos

Al infectar un archivo, el virus busca "cuevas" en el cuerpo del archivo. Estas cuevas son el resultado de la estructura de archivos PE: todas las secciones de archivos están alineadas por un valor que se define en el encabezado del archivo PE, y hay bloques de datos de archivo no utilizados entre el final de la sección anterior y el siguiente. El virus busca estas cuevas y escribe su código en ellas. Luego, el virus aumenta el tamaño de las secciones según los valores necesarios. Como resultado, la longitud del archivo no aumenta al infectar.

Si hay una cueva de suficiente tamaño, el virus guarda su código en una sección. De lo contrario, divide su código en varias partes y las guarda al final de varias secciones. Como resultado, el código del virus se puede encontrar como un conjunto de piezas, no como un solo bloque en los archivos infectados.

El virus también busca una cueva en el encabezado PE. Si hay un bloque no utilizado de no menos de 184 bytes de longitud, el virus escribe su rutina de inicio allí. El virus luego parchea la dirección de entrada en el encabezado PE con un valor que apunta a la rutina de inicio colocada en el encabezado. Este es el mismo truco que se usó en el virus "Win95.Murkry" : dirección de los puntos de entrada del programa no a alguna sección de archivo, sino al encabezado del archivo: fuera de los datos de un archivo cargable. A pesar de esto, los programas infectados se ejecutan sin problemas: Windows no presta atención a esos archivos "extraños", carga el encabezado del archivo en la memoria, luego archiva secciones y luego pasa el control a la rutina de inicio del virus en el encabezado PE.

Cuando la rutina de inicio de virus toma el control, asigna un bloque de memoria mediante el uso de la llamada PageAllocate VMM, se copia allí, localiza otros bloques de código de virus y también los copia en el bloque de memoria asignado. Luego, el virus enlaza la API IFS del sistema y devuelve el control al programa host.

Lo más interesante de esta parte del código del virus es que el virus usa trucos bastante complejos para saltar de Ring3 a Ring0: cuando el virus salta a la memoria recientemente asignada, su código se ejecuta como rutina Ring0 y el virus puede enganche las llamadas al sistema de archivos (no es posible en Ring3, donde se ejecutan todas las aplicaciones de los usuarios).

El controlador de virus IFS API intercepta solo una función: apertura de archivo. Cuando se abren archivos PE .EXE, el virus los infecta, siempre que haya cuevas de suficiente tamaño. Después de la infección, el virus verifica la fecha del archivo y llama a la rutina de activación (ver arriba).

Mientras ejecuta su rutina de activación, el virus utiliza acceso directo a los puertos del BIOS de Flash y llamadas de acceso directo al disco de VxD (IOS_SendCommand).

Otras versiones de virus conocidas

El autor del virus original lanzó no solo el código de virus en los archivos EXE afectados a la naturaleza, sino también un código fuente de virus (ensamblador). Este código fuente fue parcheado, recompilado y se encontraron nuevas versiones de virus debido a esto. La mayoría de estas versiones tienen errores y no pueden replicarse, pero otras pueden funcionar. Todos ellos están muy cerca de los virus originales, pero hay algunas diferencias. La principal diferencia es que la fecha de la "bomba" ha cambiado, y las nuevas variantes del virus borran datos y Flash BIOS en otros días, o esta rutina nunca se llama.

También hay versiones "originales" del virus parcheadas para que tengan otros días de "bomba". La razón de esto es realmente graciosa: el virus comprueba la fecha de activación al comparar el número actual del día y el mes con dos constantes (dos bytes). Al aplicar parches a estas constantes, es posible seleccionar cualquier día en que el virus destruya las computadoras.

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Kaspersky Next:
ciberseguridad redefinida
Leer más
Related articles
11 July 2024
Securelist
Cómo el phishing selectivo se convierte en phishing masivo
27 June 2024
Securelist
Ciberseguridad en las pymes: necesaria ante las crecientes amenazas
24 June 2024
Securelist
El backdoor XZ: Análisis del hook
24 June 2024
Securelist
Análisis de la solidez de las contraseñas de los usuarios
10 June 2024
Securelist
Cómo burlar la autenticación de doble factor con phishing y bots OTP
03 June 2024
Securelist
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles
¿Has encontrado algún error en la descripción de esta vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
¿Has encontrado una nueva amenaza o vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
Soluciones para
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Select language
Sorting
Amenaza
Confirm changes?
Your message has been sent successfully.