ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win9x.Yobe

Clase Virus
Plataforma Win9x
Descripción

Detalles técnicos

Este es un virus Windows parasitario residente de memoria peligroso. Utiliza llamadas al sistema que son válidas solamente con Win95 / 98 y no pueden propagarse por NT. El virus también tiene errores y, a menudo, detiene el sistema cuando se ejecuta. A pesar de esto, el virus tiene una forma muy inusual de propagarse, y es bastante interesante desde el punto de vista técnico.

El virus se puede encontrar solo en dos archivos: "SETUP.EXE" en disquetes y "SETUP .EXE" en la raíz de la unidad C: (hay un espacio entre el nombre del archivo y la extensión ".EXE").

En disquetes, el virus usa un truco para ocultar su copia. Escribe su código completo en los últimos sectores del disco y modifica el archivo SETUP.EXE para leer y ejecutar este código.

El archivo SETUP.EXE infectado se ve como un programa EXE DOS de 512 bytes, pero no lo es. Al infectar este archivo, el virus usa un método de virus DirII : mediante llamadas de lectura / escritura en sectores de disco directo, el virus accede a sectores de directorio de discos, modifica el campo "primer clúster de archivos" y realiza los cambios necesarios en las tablas FAT de disco. Como resultado, el código SETUP.EXE original no se modifica, pero el directorio ingresa puntos al código de virus en lugar de los clústeres de archivos originales.

Cuando SETUP.EXE infectado se ejecuta desde el disquete infectado, este componente de DOS del virus toma el control, lee el cuerpo del virus completo de los últimos sectores en el disquete, luego crea el archivo "C: SETUP .EXE", escribe estos datos (código de virus completo) hasta allí y se ejecuta. La rutina de instalación del virus toma el control, instala el virus en el sistema y desinfecta el archivo SETUP.EXE en la unidad de disquete.

Al instalarse en el sistema, el virus crea una nueva clave en el registro del sistema para activarse con cada reinicio de Windows:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
  YOBE = "" C: SETUP .EXE "YOBE"

El virus luego cambia al nivel del kernel de Windows (Ring0), asigna un bloque de memoria del sistema, se copia a sí mismo allí y engancha las funciones de Windows de acceso al archivo de disco (IFS API). Este enlace intercepta las llamadas de apertura de archivos y al abrir el archivo SETUP.EXE en la unidad A: el virus lo infecta.

El virus tiene rutinas adicionales. Primero, uno de ellos busca las ventanas "Monitor AVP" y "Monitor Antivirus Amon" y las cierra; el segundo, según el contador aleatorio, muestra una línea con las palabras "YOBE" en el lado izquierdo de la pantalla.


Enlace al original