El Sitio del Chat Argentino

 
  El virus Chernobyl (W95.CIH)

Este virus que devastó computadoras alrededor del mundo, tuvo sus menores efectos en Estados Unidos, donde la mayoría de los usuarios habían actualizado sus antivirus a causa del famoso Melissa.

Todas las variantes de este virus borran los primeros 2048 sectores del disco rígido (casi 1mb), escencialmente formateandolo. Y además, cuando es posible, intenta reescribir el BIOS de la computadora, dejandola inutilizable hasta el cambio de BIOS o de placa madre.

El virus W32.CIH Spacefiller se detectó en Taiwan a principios de Junio de 1998 y al cabo de una semana ya estaba expandido en todo el mundo, según la versión del mismo, puede ser activado el día 26 de Abril, o los días 26 de cada mes (o sea que se puede tener el virus sin consecuencias directas -más que el contagio- hasta esa fecha). El virus infecta los ficheros ejecutables de 32 bits de WINDOWS 95/98 e infectará todos los ficheros de este tipo que encuentre. Si se ejecuta un fichero infectado, el virus queda residente e infectará los ficheros que sean copiados o abiertos. Los ficheros infectados serán del mismo tamaño que los originales, debido a las técnicas especiales que utiliza dicho virus, lo cual hace mas dificil la detección del mismo. Éste busca espacios vacios dentro del fichero y los va rellenando con el virus, en pequeños segmentos. De todas formas el virus tiene algunos bugs que hacen que pueden bloquear el ordenador cuando se ejecutan ficheros infectados.

El virus tiene dos consecuencias en la fecha de activación: La primera es que borra o sobreescribe la información del disco duro usando llamadas de escritura directa, saltandose las protecciones antivirus de BIOS sobreescribiendo asimismo el MBR (MASTER BOOT RECORD) y el sector BOOT.

Cómo protegerse (o removerlo)

Para comenzar, siempre es necesario tener un antivirus actualizado. La mayoría de estos programas hoy en día, permiten la actualización via Internet, tal es el caso del Norton AntiVirus. Si le interesa, puede bajar versiones trial de este programa (válidas por 30 días) en español desde aqui:

Norton AntiVirus 5.0 para Windows 95 (12Mb)

Norton AntiVirus 5.0 para Windows 98 (12Mb)

(es necesario registrarse para comenzar el download).

Otro aspecto fundamental a tener en cuenta es, como regla general, tener un disco de inicio de Windows (que es generado durante la instalación), guardado con protectura sobre escritura y sin darle uso. De esta forma, si en algun momento nos encontramos infectados, podemos iniciar la computadora con este disco para comenzar la desinfectación.

Kill_CIH.exe

Esta herramienta desactiva el virus de memoria, deteniendo así sus acciones para permitir al antivirus removerlo. Es importante tener en cuenta que este ejecutable kill_cih.exe no elimina el virus, sino que impide su proceso desactivandolo en memoria hasta la próxima vez que se inicia la computadora.

Si se está infectado, es posible que esta utilidad no lo detecte, pero de todas formas es importante correrla antes de ejecutar el antivirus (o de actualizarlo por Internet), ya que si se hace sin tener en cuenta esta herramienta, sólo se estará infectando al resto de los archivos en el disco con el virus.

Haga click aquí para bajar esta herramienta.

Mecanismos de Agresión

El aspecto que revela al CIH como un virus especialmente agresivo son sus rutinas destructivas que, al activarse, sobreescriben rellenando con ceros la mayor parte de los datos de los discos duros, dejando como única alternativa la recuperación a partir de respaldos (o backups)... si es que se tienen. Por cierto que el CIH no puede ser calificado de segregacionista: si bien es cierto que solo infecta archivos, al momento de causar daños no establece preferencias, destruye tanto los archivos como el Master Boot Record y el sector de arranque de DOS.

Pero tal vez la mayor perversidad del CIH radica en una rutina de activación única: el virus intenta sobreescribir el BIOS de la máquina con basura, no con código viral como se ha corrido el rumor (la buena noticia: eso solo es posible en los llamados "Flash BIOS"; la mala noticia: prácticamente todos los BIOS en la actualidad son de esa clase). Si el CIH logra sobreescribir el BIOS, la máquina no volverá a arrancar a menos que se cambie la tarjeta principal o se reprograme el BIOS, algo que muy pocos usuarios saben cómo hacer y que no es trivial porque hay miles de BIOS diferentes. La rutina del Flash BIOS opera en muchos modelos de máquinas Pentium. En algunas máquinas es posible proteger el Flash BIOS mediante un puente (jumper) selector, pero por desgracia vienen configuradas de fábrica con dicha protección desactivada.

Curiosamente, a pesar de que el CIH opera en Windows 95 y 98, no opera en Windows NT, pero eso no impide que archivos infectados lleguen a los discos de los servidores NT donde, de todas maneras, perjudicarán a los usuarios de la red que los ejecuten. El CIH no infecta documentos, solo ejecutables.

¿Más trucos del repertorio del CIH? Su estilo particular de infectar no altera el tamaño de los archivos contaminados (los sobreescribe inutilizándolos) y el tamaño del código viral es de apenas 1 KB. El virus usa también técnicas avanzadas para saltar del anillo 3 al anillo 0 del procesador (capas de software que determinan el nivel de protección disponible a un programador) para secuestrar las llamadas al sistema, burlando así la posibilidad de ser detectado por los productos antivirus. Dado que ningún virus había llegado hasta allí con anterioridad, los antivirus simplemente no están preparados para esa tecnología y se requiere de una solución especialmente diseñada para ese virus. Claro que también se puede solucionar actualizando el AntiVirus que se tenga instalado.

Técnica de infección

Cuando el virus se dispone a infectar un archivo, busca un hueco o "caverna" en el cuerpo del archivo. Estos huecos son normales en la estructura de los archivos PE (Portable Executable) en la que todas las secciones del archivo se alínean mediante un valor que se define en el encabezado de ese tipo de archivos... y nunca hay bloques de datos entre el final de una sección y el principio de la siguiente lo que significa espacio disponible. En esos huecos escribe el virus su código e incrementa el tamaño de las secciones con los valores necesarios con lo cual el tamaño del archivo no aumenta.

Si se encuentra un hueco del tamaño suficiente, el virus guarda su código en una sola sección, de lo contrario se segmenta en las piezas y secciones que sean necesarias hasta completar todo el código.

El CIH busca también un hueco en el encabezado del PE. Si localiza un bloque libre de al menos 184 bytes, allí escribe su rutina de arranque y modifica la dirección de entrada en el encabezado del PE para que apunte al propio virus. Una vez que la rutina de arranque toma control, reserva memoria y se copia allí, localiza cualesquiera otros bloques que contengan fragmentos del virus y los agrega al bloque de memoria que reservó. A continuación el virus secuestra las rutinas de control de entrada salida (IFS API de Windows) y devuelve el control al programa anfitrión.

Como ya se mencionaba, lo más interesante desde el punto de vista técnico, es que el virus emplea complejos trucos para saltar del anillo 3, que es la capa de software en la que corren todas las aplicaciones del usuario ¡incluyendo el antivirus! al anillo 0, único nivel desde el cual pueden interceptarse las llamadas al sistema para acceso de archivos burlando a Windows.

El manejador de archivos del virus intercepta solo una función, la apertura de archivos. Cuando un .EXE se abre, el virus lo infecta, siempre que contenga huecos suficientes y en seguida verifica la fecha del archivo para decidir si es tiempo de activar sus rutinas destructivas. En este punto el virus hace llamadas directas a los puertos del Flash BIOS y de acceso a discos para evadir el sistema operativo.

Variantes

A tan corta distancia de su aparición inicial, se conocen ya tres variantes del CIH:

La v.1.2 se activa los días 26 de abril.

La v.1.3 se activa los días 26 de junio.

La v.1.4 se activa el día 26 de cada mes.

 

Fuente: Textos de ZDNet (http://www.zdnet.com/)
Textos de Symantec (http://www.symantec.com/)
Información de los productores de F-PROT y Command AntiVirus;
Notas aparecidas en el foro alt.comp.virus de Internet;
Textos de ITASA (http://www.itasa.com.mx/).

© Oscar Garaiz - Todos los derechos reservados.