MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

3.9.07

SERIE RETRO: LO QUE DEJO LA HISTORIA (III)
Durante junio de 1998 surgió un nuevo virus que infectaba sólo archivos ejecutables de computadoras con sistemas operativos Microsoft Windows 95 y 98 y tenía la capacidad de dejar inutilizable una computadora si se daban ciertas condiciones en su hardware.

Win95/CIH fue creado en Taiwán por un estudiante de Ingeniería del Instituto Tecnológico de Taipé llamado Chen Ing-Hou y cuyas iniciales forman el nombre de su creación. Al momento de ser detenido, durante el año 2000, acusado de haber sido el creador del virus, Chen manifestó que la motivación que lo llevó a crear este virus fue venganza hacia quienes llamó “incompetentes desarrolladores de software antivirus”.

Este código viral recibió alias como CIH SPACEFILTER, CIH 1003, PE_CIH, CIHV, TSHERNOBYL, TSERNOBYL y más, pero sin lugar a dudas el más conocido fue el de Chernobyl recibido por el accidente nuclear que tuvo lugar en Chernobyl, ciudad de Ucrania, el 26 de abril del 1986.

El virus Win95/CIH, en su versión 1.2, posee un módulo de ataque que precisamente se activa el día del aniversario del accidente que dio lugar a su alias más conocido, la versión 1.4, denominada Tatung, se activa el día 26 de cada mes e incluso otra variante de esta familia de virus acciona su carga dañina el día 26 de junio.

En consecuencia, los usuarios podrían estar infectados sin saberlo hasta el momento en que se activa el módulo con instrucciones de daño y el virus comienza a desplegar sus acciones maliciosas sobre todos los archivos de 32-bits (ejecutables de Windows con extensión .EXE) que encuentra en su camino.

Al ejecutar su módulo de ataque, CIH sobrescribe los primeros 2048 bits de los discos rígidos borrando todo su contenido e intentando al mismo tiempo borrar la información contenida en la memoria flash de la BIOS de las computadoras Pentium basadas en chips Intel 430TX, que tienen la capacidad de ser actualizadas y configuradas como write-enabled (habilitar escritura). El CIH tiene la particularidad específica que sólo ataca a los equipos con estas características.

La BIOS es la encargada de mantener los datos vitales del sistema y permite realizar el proceso de arranque de las computadoras. La solución a la infección termina siendo el cambio del chip de la BIOS o, en caso de encontrarse soldada, la consecuencia es inevitable y consiste en cambiar la placa madre (mother). Por estos motivos, el Win95/CIH fue considerado uno de los virus más peligrosos de la historia.

Con el fin de dificultar su detección, también se encarga de copiar su código viral en espacios no utilizados (vacíos) de los archivos infectados sin modificar su tamaño, quedando residente en memoria para luego seguir propagándose a través de archivos con extensión .exe al momento de su ejecución y/o copia.

Debido a la publicación de su código fuente, muchos creadores de malware vieron la posibilidad de incluir en otros virus la porción de código correspondiente al módulo de ataque del CIH dando lugar a la creación de variantes como por ejemplo el virus llamado “Emperor”, también capaz de dañar específicas BIOS de computadoras.

Por accidente, Win95/CIH logró difundirse a través de varios canales comerciales como por ejemplo: el juego Wing Commander resultó infectado, la empresa Yamaha distribuyó una actualización de drivers para su CD-R400 también infectada y hasta IBM vendió un lote de computadoras con el virus Win95/CIH preinstalado durante marzo de 1999, un mes antes de que el virus activara su carga dañina.

A pesar de que todas las firmas antivirus detectan este código malicioso, como se puede apreciar en la imagen, en la actualidad siguen apareciendo casos de equipos infectados con este malware. Para las víctimas de este virus, existen herramientas que permiten recuperar los discos rígidos dañados por este virus.


Por ello es muy importante que los usuarios tengan la precaución de no ejecutar ni instalar nada nuevo sin antes haber verificado los archivos contenidos en medios de almacenamiento como CDs, disquetes, etc. con una herramienta antivirus como ESET NOD32.

Más información:
[1] Cronología de los virus informáticos.
http://www.eset-la.com/threat-center...s-informaticos

[2] Serie retro: “lo que nos dejó la historia” I.
Serie retro: lo que dejó la historia (I)

[3] Serie retro: “lo que nos dejó la historia” II.
Serie retro: lo que dejó la historia (II)

Fuente: http://www.psicofxp.com

0 comentarios: