Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de virus Win32 muy peligroso. El virus en sí es un archivo EXE de Windows PE de aproximadamente 23 Kb de longitud (comprimido por UPX, con un tamaño descomprimido de aproximadamente 52 KB) y escrito en Microsoft Visual C ++. Se propaga a través de la red local e infecta las aplicaciones EXE de Win32 (archivos PE EXE) allí. Al infectar, el virus mueve un archivo que comienza al final del archivo, luego se escribe al comienzo del archivo. Como resultado, cuando se inicia un archivo infectado, el código del virus toma el control.

El virus usa llamadas específicas de Win9x, y puede funcionar solo en máquinas Win9x. Debido a su "naturaleza" de red, el virus puede infectar archivos en máquinas NT, pero no se pueden ejecutar allí.

Rutinas de virus

Cuando se ejecuta un archivo infectado, el virus obtiene su código de un archivo host infectado y lo coloca en el directorio del sistema de Windows con el nombre DDRAW32.DLL (este archivo es una aplicación Win32 PE con un código de virus "puro"). Luego, el virus genera este archivo DLL de "código puro", desinfecta un archivo de host y lo genera, devolviendo el control al programa de host.

Si se produce un error arriba, el virus muestra un mensaje de "Error fatal".

Cuando se ejecuta, el archivo de virus DDRAW32.DLL activa las principales rutinas de virus. Existen cuatro:

1. rutina de registro. Éste crea una clave de ejecución automática del Registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce =% SystemDir% DDRAW32.DLL

Si se ejecuta una aplicación REGEDIT, esta rutina elimina temporalmente esta clave, realizando así el mecanismo de "sigilo".

2. Red que infecta la rutina. Éste duerme durante aproximadamente cuatro minutos, luego enumera los recursos de red (unidades compartidas) y luego infecta los archivos allí. Al infectar una unidad compartida, el virus primero verifica si está habilitado para escritura. En el caso en que la unidad se comparte para un acceso completo, el gusano inicia la rutina de infección de archivos Win32 en esa unidad. Esta rutina escanea todos los directorios en la unidad e infecta los archivos PE EXE allí.

Si se asigna un disco para acceso limitado, el virus intenta iniciar sesión con el nombre "invitado" y con diferentes contraseñas. Parece que el virus intenta adivinar la contraseña verdadera y luego inicia la rutina de infección si el inicio de sesión es exitoso.

El virus también intenta obtener acceso a una máquina remota de cuatro maneras: para obtener acceso a esta máquina "tal como está", luego intenta obtener a través de las acciones de administrador ocultas C $, D $ y E $

3. Esta es una rutina de carga útil. Las máquinas infectadas primero almacenan la hora y la fecha de ejecución en el registro del sistema (ver a continuación). Según el intervalo de tiempo desde la primera ejecución, activan la rutina de carga que finaliza los procesos activos de acuerdo con la siguiente lista:

Msgsrv32, Mprexe, Explorer, Taskmon, Internat, Systray, Mmtask, ddraw32

A continuación, extraen, del código de virus, el virus "Win95.CIH" en el archivo RUN.EXE y lo ejecutan. La rutina de destrucción "Win95.CIH" está parcheada para que se ejecute inmediatamente. Como resultado, las rutinas de BIOS flash de CIH y de destrucción de FAT se activan inmediatamente.

4. Redes. Esta rutina escucha todas las máquinas ya infectadas en la red. Al mismo tiempo, si la rutina de carga útil está activada, la rutina de red de virus envía un mensaje especial de "carga útil ahora" a todas las demás máquinas infectadas. Como resultado, cuando una máquina infectada accede a la carga útil, todas las otras máquinas en la red local reciben un mensaje de "carga útil ahora" e inician la carga útil. Entonces, todas las máquinas infectadas en la red se bloquean en el mismo momento.

Sigilo

Además de su rutina de sigilo de registro, el virus también oculta su archivo DDRAW32.DLL. Para hacerlo, enlaza las funciones de búsqueda del proceso de memoria y devuelve un mensaje de "no proceso" en el caso de que se esté buscando un proceso infectado.

Otro

El virus altera las siguientes claves de registro:

HKLMSystemCurrentControlSetServicesClass
Carné de identidad
Ir

HKLMEnumNetwork
Cnum
Inum

El virus también contiene la cadena de texto:

Bumerang

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de virus Win32 muy peligroso. El virus en sí es un archivo EXE de Windows PE de aproximadamente 23 Kb de longitud (comprimido por UPX, con un tamaño descomprimido de aproximadamente 52 KB) y escrito en Microsoft Visual C ++. Se propaga a través de la red local e infecta las aplicaciones EXE de Win32 (archivos PE EXE) allí. Al infectar, el virus mueve un archivo que comienza al final del archivo, luego se escribe al comienzo del archivo. Como resultado, cuando se inicia un archivo infectado, el código del virus toma el control. El virus usa llamadas específicas de Win9x, y puede funcionar solo en máquinas Win9x. Debido a su "naturaleza" de red, el virus puede infectar archivos en máquinas NT, pero no se pueden ejecutar allí. Rutinas de virus Cuando se ejecuta un archivo infectado, el virus obtiene su código de un archivo host infectado y lo coloca en el directorio del sistema de Windows con el nombre DDRAW32.DLL (este archivo es una aplicación Win32 PE con un código de virus "puro"). Luego, el virus genera este archivo DLL de "código puro", desinfecta un archivo de host y lo genera, devolviendo el control al programa de host. Si se produce un error arriba, el virus muestra un mensaje de "Error fatal". Cuando se ejecuta, el archivo de virus DDRAW32.DLL activa las principales rutinas de virus. Existen cuatro: 1. rutina de registro. Éste crea una clave de ejecución automática del Registro: HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce =% SystemDir% DDRAW32.DLL Si se ejecuta una aplicación REGEDIT, esta rutina elimina temporalmente esta clave, realizando así el mecanismo de "sigilo". 2. Red que infecta la rutina. Éste duerme durante aproximadamente cuatro minutos, luego enumera los recursos de red (unidades compartidas) y luego infecta los archivos allí. Al infectar una unidad compartida, el virus primero verifica si está habilitado para escritura. En el caso en que la unidad se comparte para un acceso completo, el gusano inicia la rutina de infección de archivos Win32 en esa unidad. Esta rutina escanea todos los directorios en la unidad e infecta los archivos PE EXE allí. Si se asigna un disco para acceso limitado, el virus intenta iniciar sesión con el nombre "invitado" y con diferentes contraseñas. Parece que el virus intenta adivinar la contraseña verdadera y luego inicia la rutina de infección si el inicio de sesión es exitoso. El virus también intenta obtener acceso a una máquina remota de cuatro maneras: para obtener acceso a esta máquina "tal como está", luego intenta obtener a través de las acciones de administrador ocultas C $, D $ y E $ 3. Esta es una rutina de carga útil. Las máquinas infectadas primero almacenan la hora y la fecha de ejecución en el registro del sistema (ver a continuación). Según el intervalo de tiempo desde la primera ejecución, activan la rutina de carga que finaliza los procesos activos de acuerdo con la siguiente lista: Msgsrv32, Mprexe, Explorer, Taskmon, Internat, Systray, Mmtask, ddraw32 A continuación, extraen, del código de virus, el virus "Win95.CIH" en el archivo RUN.EXE y lo ejecutan. La rutina de destrucción "Win95.CIH" está parcheada para que se ejecute inmediatamente. Como resultado, las rutinas de BIOS flash de CIH y de destrucción de FAT se activan inmediatamente. 4. Redes. Esta rutina escucha todas las máquinas ya infectadas en la red. Al mismo tiempo, si la rutina de carga útil está activada, la rutina de red de virus envía un mensaje especial de "carga útil ahora" a todas las demás máquinas infectadas. Como resultado, cuando una máquina infectada accede a la carga útil, todas las otras máquinas en la red local reciben un mensaje de "carga útil ahora" e inician la carga útil. Entonces, todas las máquinas infectadas en la red se bloquean en el mismo momento. Sigilo Además de su rutina de sigilo de registro, el virus también oculta su archivo DDRAW32.DLL. Para hacerlo, enlaza las funciones de búsqueda del proceso de memoria y devuelve un mensaje de "no proceso" en el caso de que se esté buscando un proceso infectado. Otro El virus altera las siguientes claves de registro: HKLMSystemCurrentControlSetServicesClass Carné de identidad Ir HKLMEnumNetwork Cnum Inum El virus también contiene la cadena de texto: Bumerang
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Worm.Win32.Bumerang

Detalles técnicos