I-Worm.Magistr

Estás en Inicio: Soporte Técnico: Alertas de Virus: I-Worm.Magistr

I-Worm.Magistr« Volver al listado de Virus

Una mezcla de virus y gusano con polimorfismo multinivel

Cambridge, U. K., 14 de marzo de 2001 - Kaspersky Lab, compañía internacional de desarrollo de software antivirus alerta acerca del descubrimiento de un nuevo virus informático extremadamente peligroso llamado "Magistr," que se propaga por correo electrónico y a través de las redes locales y usa un conjunto de hábiles técnicas para ocultar su presencia en los ordenadores infectados que hacen muy difícil de detectar y desinfectar. De acuerdo con los comentarios que contiene, ha sido desarrollado Malmo, Suecia por un hacker que utiliza el seudónimo de "The Judges Disemboweler."
Kaspersky Lab ya ha recibido informes acerca de su presencia "in-the-wild."

"Magistr" puede entrar en un ordenador por tres vías: una, mediante correo electrónico cuando un usuario envía accidentalmente un archivo infectado adjunto al mensaje; otra, a través de la red local (LAN) debido a archivos infectados disponibles en los recursos compartidos disponibles en servidores y puestos de trabajo; la tercera, puede llegar en sistemas de almacenamiento externos (disquetes, zip,..) o descargada de Internet u otra red.

Nada más ejecutarse el archivo infectado, el gusano inicia el procedimiento de penetración en el sistema, la distribución masiva por correo electrónico y un tiempo después, activa su potencial destructivo.

Para realizar su distribución masiva por correo electrónico, "Magistr" mira las bases de correo de Outlook Express, Internet Mail y Netscape Messenger y la libreta de direcciones de Windows donde lee todas la direcciones. La información acerca de la localización de las bases de datos de correo y sus nombres se almacena en un archivo especial con extensión DAT. El nombre del archivo se obtiene mediante cifrado del nombre del ordenador. Por ejemplo, si un ordenador se llama CS-GOAT, el archivo se llamará WG-SKYF.DAT. Dependiendo del primer carácter del nombre del archivo, el virus copia este en el directorio principal de C: o en los directorios de "Windows" o "Archivos de programa". A continuación, "Magistr" de manera invisible alcanza el servidor SMTP que está conectado al ordenador infectado y de parte del usuario, envía mensajes con archivos PE EXE o SCR seleccionados aleatoriamente y de menos de 132Kb infectados con el virus. El tema del mensaje son archivos DOC o TXT seleccionados aleatoriamente entre los existentes en el ordenador o frases de una lista en inglés, español o francés que el virus posee. El cuerpo del mensaje no contiene texto. Tal variedad de apariencias de los correos distribuidos dificulta la identificación de los mensajes infectados. Es importante destacar que cuando envía un mensaje "Magistr" modifica aleatoriamente la dirección de retorno del remitente borrando o modificando algún carácter. Este hecho también ayuda a ocultar la actividad del virus puesto que el receptor no puede responder el mensaje debido a una incorrecta dirección de retorno. Así, el remitente es incapaz de verificar que el virus está enviando mensajes no autorizados desde su ordenador.

Al ejecutarse el código del virus "Magistr" en un ordenador infecta todos los archivos PE EXE y SCR que encuentra en los directorios "Windows," "WinNT," "Win95" y "Win98" de todos los dispositivos locales y de red conectados con este ordenador. Después, el virus escanea todos los recursos de la red disponibles, busca los directorios mencionados e infecta los archivos PE EXE y SCR que contienen. Al infectar archivos, "Magistr" usa varias técnicas sofisticadas que complican en gran medida su detección y eliminación. El virus se divide en tres partes con dos de ellas cifradas con algoritmos polimórficos fuertes.

En consecuencia, después de ejecutar el archivo infectado, el virus intercepta inmediatamente su ejecución en el punto de entrada del programa y redirecciona el proceso hacia el código principal del virus. Solo cuando este se ha completado, el virus devuelve el control al programa original.

Para asegurar la presencia constante del virus en el sistema infectado, "Magistr" modifica el archivo de configuración WIN.INI y el registro del sistema Windows de manera que el virus se activa cada vez que el sistema arranca. Cuando infecta recursos de red, el virus solo modifica el archivo WIN.INI.

"Magistr" lleva una carga destructiva muy peligrosa. Un mes después de la primera infección, el virus destruye todos los archivos de los dispositivos locales y de red en ordenadores con Windows NT/2000 reemplazando el contenido original por los caracteres "YOUARESHIT". En Windows 95/98, el virus además borra la configuración de la memoria CMOS (que contiene la configuración de arranque del hardware) y, como hace el virus "Chernobyl" (CIH), destruye los datos del microchip FLASH BIOS. Después muestra lo siguientes mensajes:

- Another haughty bloodsucker.......
- YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT

Dependiendo de activadores internos, el virus también ejecuta otra subrutina que afecta a los iconos de manera que si el usuario intenta dirigir el ratón a un icono, este inmediatamente se desplaza de manera que el usuario nunca puede iniciar la correspondiente aplicación.

"En este caso en particular, estamos tratando con un virus informático muy complejo y tecnológicamente avanzado que está provisto de todos los más efectivos medios de propagación, infección y enmascaramiento y con un potencial muy peligroso," dice Denis Zenkin, Head of Croporate Communications de Kaspersky Lab. "Podemos decir 'Magistr' es el resultado de cruzar con éxito la sobresaliente velocidad de propagación del virus 'ILOVEYOU' con el poder destructivo de 'Chernobyl' ."

Teniendo en cuenta la peligrosidad y velocidad de propagación del virus "Magistr", Kaspersky Lab recomienda a sus usuarios actualizar la firmas de virus de Kaspersky Anti-Virus ( anteriormente AVP) tan pronto como sea posible. La protección contra este virus ya está incluida.