19/11/01

NOTICIAS

"Bumerang" ataca redes locales


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Afecta a máquinas Windows 9x conectadas a una red local, se propaga a través de carpetas compartidas y puede llegar a causar la caída de toda la red
La empresa desarrolladora de soluciones de seguridad Kaspersky Labs. alerta de la aparición de un peligroso gusano que llega como archivo Portable Executable (PE), comprimido con la utilidad UPX y escrito en C++. Hasta el momento, sólo los citados laboratorios han avisado de la presencia de este virus pero conviene hacerse eco del mismo sobre todo porque posee una versión modificada del ya conocido y peligroso CIH.

Bumerang sólo se propaga por redes locales e infecta aplicaciones Win32 en máquinas con Windows 9X instalado, no obstante, atendiendo a su naturaleza, puede llegar a infectar archivos en Windows NT, aunque no se ejecutarán en ese sistema operativo. Su rutina consiste, principalmente, en copiarse al principio del código de un archivo, sustituyendo la primera parte del mismo que llevará al final. Esto le permite ejecutarse antes que el programa infectado.

Su rutina de infección comienza cuando un archivo infectado se ejecuta, entonces el virus se copia bajo el nombre de DDRAW32.DLL en el directorio System de Windows. El gusano también modificará la línea de registro para poder ejecutarse, la cual quedará configurada de la siguiente manera:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
= C:\Windows\System\DDRAW32.DLL

Después de unos cuatro minutos desde que comenzó la ejecución, el gusano examina las unidades de red que comparte ese PC y procede a infectar nuevamente todos los archivos PE que encuentre. En el caso de que el acceso a la unidad esté protegido por contraseñas, Bumerang intenta penetrar en el sistema primero como usuario "invitado" con una serie de passwords. El gusano también puede acceder a un equipo probando los accesos ocultos a recursos compartidos por el administrador de la red.

Pero, esto no es todo. También guarda en el registro la fecha y hora de su ejecución y dependiendo de cuánto tiempo haya pasado desde que se activó en ese equipo, lanza una acción que puede acabar con los siguientes procesos: Msgsrv32, Mprexe, Explorer, Taskmon, Internat, Systray, Mmtask y ddraw32.

En ese momento, extrae de su código el virus CIH y lo copia como RUN.EXE para ejecutarlo. No obstante, la versión de este mítico virus que transporta Bumerang no es la original sino que está modificada para que su acción comience de forma inmediata lo que provoca el borrado de la BIOS, la FAT y los primeros sectores del disco duro. Por otro lado, al mismo tiempo que el gusano activa su rutina destructiva, ataca a todas la máquinas de a red previamente infectadas.

También hay que destacar que el virus posee una sofisticada rutina para ocultarse y para ocultar el archivo que transporta.


Copyright © VIRUSPROT.COM