Alias: W32/Disemboweler, W32/Magistr@MM, IWorm.Magistr, I-Worm.Magistr, PE_MAGISTR.A, W32.Magistr.24876

Este gusano polimórfico de Win32 apareció en Marzo de 2001 y su origen parece ser Suecia. 

La capacidad destructiva de este gusano de correo electrónico es muy alta y su identificación es complicada, ya que en cada ataque modifica el asunto y el cuerpo del mensaje.

El gusano puede entrar en un PC, de tres formas diferentes:

- Como mensaje de correo electrónico,
- Utilizando la red de área local (LAN) o
- Cuando un archivo en formato PE infectado se entrega a un sistema por cualquier medio de almacenamiento desmontable o descargado de cualquier otra red de Internet.

El virus infecta archivos PE (ejecutables de Win32) con un método tan complejo que hace difícil su desinfección. El virus encripta su código principal con un mecanismo polimórfico y se escribe al final de los archivos. Para obtener el control del archivo infectado, el virus parchea un código de entrada al programa con una rutina polimófica que pasa el control al final del archivo donde se localiza el código principal encriptado del virus.

Escrito en puro lenguaje ensamblador contiene 30 Kb de longitud, excesivo para un programa de este tipo. 

Una vez que se ejecuta el archivo infectado, el virus inicia el procedimiento de penetración dentro del sistema. Se instala como un componente de EXPLORER.EXE (en la memoria de Windows) y luego opera en background como una operación más de EXPLORER de esta forma escanea todos los archivos e infecta los ejecutables PE.

También se difunde en modo de adjunto a un email. Escanea las bases de datos de OutLook Express, Internet Mail y Netscape Messenger y las aplicaciones Internet Mail y News. Los detalles de la localización de las bases de datos y sus nombres se guardan en un archivo especial con extensión .DAT y comprobará cuáles de las direcciones detectadas no están aún infectadas para enviarse a ellas. 

El asunto del mensaje infectado se compone de las siguientes frases o palabras en inglés, francés y español:

Sentences you
Sentences him to
Sentence you to
Ordered to prison
convict
judge
circuit judge
trial judge
found guilty
find him guilty
affirmed
judgment of conviction
verdict
guilty plea
trial court
trial chamber
sufficiency of proof
sufficiency of the evidence
proceedings
against the accused
habeas corpus
jugement
condamn
é rembourse
sous astreinte
aux entiers dépens
ayantdélibéré
le porésent arrêt
vu l ‘,27h, ‘arrêt
conformément á la loi
exécution provisoire
rdonn
audience publique
a fait constater
cadre de la procédure
magistrad
apelante
recurso de apelación
pena de arresto
y condeno
mando y firmo
calidad de denunciante
costas procesales
diligencias previas
antecedentes de hecho
hechos probados
sentencia
comparecer
juzgando
dictando la presente
los autos
en autos
denuncia presentada

Cuando infecta una red, el gusano enumera los recursos de esta y busca nombres específicos de instalaciones de Windows en sistemas remotos: WINDOWS. NT, 95 y 98.

Si encuentra el recurso apropiado el gusano se copia en él y registra esa copia en el archivo WIN.INI del PC remoto. Éste se infectará la siguiente vez que arranque Windows (excepto las estaciones bajo Windows NT en las que el archivo WIN.INI no suele iniciar programas).

Este gusano tiene propiedades anti-debug, tales como Structure Exception Handling (SHE). Sobrescribe los archivos del disco con el texto: “YOUARESHIT”. Puede incluso borrar la  CMOS, la FLASH BIOS o los datos del disco duro mostrando el mensaje:

Another haughty bloodsucker..............
YOU THIK YOU ARE GOD,BUT YOU ARE ONLY A CHUNK OF SHIT

ARF! ARF ¡ I GOT YOU! Virus: Judges Disemboweler. By: The Judges Disemboweler. Written in Malmo (Swede)