Magistr - Un Combinado Explosivo

Boletín informativo de AVP - Kaspersky Anti-Virus

15 de Marzo de 2.001

## INDICE #############################

[1].- "Magistr" - Un Combinado Explosivo

#######################################


[1].- "Magistr" - Un Combinado Explosivo

Magistr: Un combinado de virus y gusano aderezado con una pizca de
Poliformismo.


Cambridge, United Kingdom, March 14, 2001
Ontinet, Valencia, España, 15 de Mayo de 2001

Kaspersky Lab, líder europeo en desarrollo de software antivirus y de
seguridad, alerta del descubrimiento de un nuevo virus extremadamente
peligroso llamado "Magistr" que se reproduce a través del correo
electrónico y redes locales, y utiliza un conjunto de ingeniosas técnicas
para ocultar su presencia en los ordenadores infectados, lo que le
convierten en muy difícil de detectar y desinfectar. De acuerdo con los
comentarios encontrados en el mismo programa, el virus fue creado en Malmo,
Suecia, por un hacker que responde al nombre de "El Juez Destripador" (The
Judges Disemboweler).
Kaspersky labs ha recibido ya varios informes de infección.

"Magistr" puede introducirse en un ordenador por tres vías distintas: en
primer lugar, a través del correo electrónico, cuando un usuario ejecuta
accidentalmente un fichero infectado recibido por email; en segundo lugar,
a través de una red local infectando los programas que encuentra en los
servidores y estaciones de trabajo; y en tercer lugar, a través de soportes
magnéticos (disquetes, cdroms, etc...) o en programas descargados de
Internet u otras redes.
Inmediatamente después de que el archivo infectado sea ejecutado, el virus
inicia el procedimiento de penetración en el sistema, distribución masiva
de sí mismo a través del correo electrónico, y, después de algún tiempo,
activa su peligrosa rutina de destrucción.

Al ejecutar la rutina de distribución por correo electrónico, "Magistr"
busca en todas las bases de mensajes del Outlook Express, Internet Mail y
Netscape Messenger, y en la Libreta de Direcciones de Windows, y recopila
todas las direcciones que encuentra. Después guarda los detalles sobre
estas bases de mensajes en un archivo especial con la extensión DAT. El
nombre del archivo lo selecciona a raíz de encriptar el nombre de la propia
máquina, y dependiendo del primer carácter del nombre del archivo, lo
guarda en el directorio raíz de C:, en el directorio Windows, o en la
carpeta de Archivos de Programa.
Después de esto, "Magistr" busca el servidor SMTP (correo saliente) que
utiliza el ordenador infectado, y sin el conocimiento del usuario envía
mensajes a través de dicho servidor conteniendo ficheros EXE o SCR con
nombres aleatorios y conteniendo copias del propio virus. El "Asunto"
(Subject) del mensaje es seleccionado aleatoriamente de documentos DOC y
TXT encontrados en el ordenador o de una lista de frases en Inglés, Español
y Francés que contiene el propio virus. Esta variedad de posibilidades en
la apariencia de los mensajes convierten al virus en muy difícil de
detectar por un usuario a simple vista.

Es importante hacer notar que cuando el virus envía el mensaje infectado,
aleatoriamente cambia la dirección de retorno del que envía el mensaje
añadiendo o borrando caracteres. Esto ayuda aún más al virus a permanecer
oculto, ya que los que intentan responder al usuario para informarle de que
está infectado no pueden contactar con él al utilizar una dirección
incorrecta. Así pues, el usuario infectado no recibe mensajes informándole
de tal infección.

Inmediatamente después de que el virus sea ejecutado, "Magistr" infecta
todos los programas EXE (programas ejecutables) y SCR (salvapantallas) que
encuentra en las carpetas: Windows, WinNT, Win98 y Win98 de TODAS las
unidades de disco duro locales y unidades de red conectadas a ese
ordenador. Después de esto, el virus busca recursos de red compartidos en
otros ordenadores e infecta también todos los programas que encuentra en ellos.
Cuando infecta los archivos "Magistr" utilizas varias técnicas muy
sofisticadas que complican muy significativamente su detección y
desinfección. El virus se divide en tres partes, dos de ellas encriptadas
con un fuerte algoritmo polimórfico.
Para asegurarse su constante presencia en los ordenadores infectados,
"Magistr" modifica la configuración del fichero WIN.INI y el registro de
Windows de forma que el virus es ejecutado de forma automática cada vez que
el ordenador es arrancado. A través de la red, el ordenador solo modifica
el fichero WIN.INI.

La rutina destructiva del "Magistr" es extremadamente peligrosa. Un mes
despues del primer día de la infección el virus destroza todos los archivos
en las unidades de disco locales y de red que estén utilizando Windows
NT/2000 reemplazando su contenido por el texto "YOUAREASHIT"
(ERESUNMIERDA), lo que hace que los archivos no puedan ser recuperados de
ninguna manera.
Bajo Windows 95/98 el virus además borra la memoria CMOS del ordenador
(donde se guarda la fecha, la hora y la configuración de hardware del
ordenador) y, al igual que hace el virus CIH (Chernobyl), destroza la Flash
Bios del ordenador, lo que obligará al usuario a cambiar la placa base de
su máquina.

Después de esto, muestra un mensaje con el siguiente texto:

Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT

Traducción:
(Otra altiva sanguijuela......
PIENSAS QUE ERES DIOS,
PERO SOLO ERES UN PEDAZO DE MIERDA)

Dependiendo de algunos contadores internos, el virus ejecuta además otra
rutina que simula un juego o un típico programa de divertimento: si un
usuario intenta apuntar un icono con el ratón, el icono se mueve impidiendo
que el usuario pueda hacer click sobre él.

"En este caso en concreto nos enfrentamos a un virus muy complejo y
tecnológicamente muy avanzado, que además es potenciado por las más
eficaces técnicas de infección, reproducción y ocultamiento, y que tiene un
efecto altamente destructivo" comenta Denis Zenkin, Jefe del Departamento
de Comunicaciones de Kaspersky Labs. "Es un hecho que 'Magistr' es el
resultado de combinar de forma eficaz la velocidad de reproducción del
ILOVEYOU y los efectos destructivos del CHERNOBYL".

Teniendo en cuenta la alta peligrosidad y velocidad de reproducción del
virus "Magistr", se recomienda a los usuarios la actualización inmediata de
las bases de virus.

La Detección/Desinfección del virus ha sido ya incluida en la
actualización diaria del AVP.

Más información e imágenes en la página web
http://www.avp-es.com/virus/magistr.html


Acerca de Kaspersky Lab & Ontinet.com, S.L.

Kaspersky Lab es una compañía con un vertiginoso crecimiento que cuenta
con oficinas en Moscú (Rusia), Cambridge (Reino Unido) y Walnut Creek
(EEUU). Habiendo empezado en el mundo de los negocios en 1.992, concentra
todos sus esfuerzos en el desarrollo de tecnología líder en el mundo de
detección y eliminación de virus. Kaspersky lab cuenta con distribuidores
en más de 40 países de todo el mundo y sus productos están traducidos a más
de 15 idiomas.

Ontinet.com, S.L. es un distribuidor oficial para España y Latinoamerica
de los productos de Kaspersky Labs desde 1.996, y cuenta con la mayoría de
las versiones traducidas al castellano, incluyendo documentación y ayuda en
línea, además de varias listas de correo en castellano totalmente gratuitas
con soporte del software de AVP y boletines informativos especiales con
información actualizada acerca del mundo de los virus.

Para una mayor información acerca de AVP puede visitar nuestras páginas
web en http://www.avp-es.com y http://www.avp-soporte.com


Vicente Coll
http://www.avp-es.com
http://www.kaspersky-es.com
http://www.avp-soporte.com
----------------------------------------------------------------------------
Distribuidor para España y LatinoAmerica del Kaspersky Antivirus
   (antiguo A.V.P.  - Antiviral Toolkit Pro)
desde 1.996
----------------------------------------------------------------------------
Ontinet.com, S.L.
Avda. Pio XII, 6, bajos
46870 Ontinyent - Valencia (España)
Telf.- +34-902.33.48.33
Fax.- +34-902.33.48.33
info@kaspersky-es.com
info@avp-es.com
---------------------------------------------------------------------------