|
|
Ultima Actualización: Martes 01
de Febrero de 2000
|
Virus Chernobyl (CIH)
Descripción: Conocido técnicamente
como Virus CIH, el virus Chernobyl hasta donde se conoce-, fue creado en Taiwan en Junio de 1998.
El virus se activa el día 26 de cada mes, siendo más sensible los dias 26 de abril y el 26 de Junio , día en el cual se conmemora el aniversario del Accidente
Nuclear acontecido en Ucrania.
Antecedentes
Desde la salida de la tecnología FlashBIOS para las PC de escritorio,
la posibilidad de ataques maliciosos sobre el BIOS de las máquinas, es un riesgo cada vez más alto que se encuentra latente y que ya esperan fabricantes
y casas de anti-virus.
¿Qué es el FlashBIOS?
El FlashBIOS es una nueva tecnología integrada a las tarjetas PENTIUM que sirve de apoyo a los dispositivos Plug-and-Play. Son en sí, un chip BIOS dinámico, que es capaz de escribirse y auto-configurarse en base a los requerimientos
del dispositivo que lo solicite.
Surgimiento del Virus
El primer virus en aprovechar este medio, fue descubierto en Junio de 1998. Bautizado como CIH, este nuevo programa de infección de las computadoras,
acapara actualmente la atención de los usuarios debido a su innovadora forma de transmitirse.
¿Qué tipo de virus es Chernobyl?
Técnicamente el CIH o virus Chernobyl es un archivo que contiene un programa tipo PE (Portable Executable).
¿Bajo que plataforma funciona el Virus?
Debido a su naturaleza como archivo PE, el Virus Chernobyl corre sin problemas bajo la plataforma Windows 95/98. Es importante aclarar que
aún cuando NT también usa este tipo de archivos y programas (PE), el
virus tiene unos mecanismos que hacen que no funcione bajo NT.
¿Qué tan peligroso es el Virus?
El CIH es considerado como un virus sumamente peligroso, ya que es capaz de destruir el disco duro de las máquinas, mediante el ataque a una
pequeña parte altamente crítica del BIOS, la cual deja inoperante a los equipos.
¿Cómo funciona Chernobyl?
Los días 26 de cada mes son los días claves, ya que en estas
fechas el virus evalúa si el FlashBIOS acepta escritura (Caso más común
por la configuración bajo la cual salen de las casas fabricantes estos chips) y de
poder hacerlo, procede a alterar el BIOS haciendo que la máquina no pueda ser reiniciada. Al mismo tiempo, el virus está sobreescribiendo los primeros 2048
sectores (1MB) con información aleatoria (basura), proveniente de la memoria.
¿Qué variables tiene?
El CIH posee al menos 4 variables, las cuales sólo se reconocen por una etiqueta interna que distingue la versión 1.2, la 1.4 y dos auto-identificadas como 1.3.
Una variante del virus Chernobyl es capaz de desactivar el Norton Antivirus!
Una de las variantes de maligno programa, la W95.CIH.1075, es capaz de atacar
el Norton Antivirus en el momento de su instalación haciendo que el programa
no sea capaz de detectar el invasor. La noticia ha sido divulgada por la propia Symantec, creadora del popular software,
en su último boletín de soporte al programa.
Según Symantec, el W95.CIH.1075 ataca programas ejecutables (.EXE) desde
Windows 95/98.
Cuando uno de estos programas es ejecutado, el invasor queda residente en memoria
desde donde contamina otros programas. Los archivos infectados mantienen su tamaño original unos de los parámetros utilizados
por los antivirus para localizar la infección- porque el virus ocupa los espacios en
blanco del código fuente.
Igual que otras variantes de Chernobyl, la 1075 realiza un trabajo silencioso
de contaminación y sólo se manifiesta cada día 26, cuando borra el contenido
del disco duro de las máquinas infectadas. Debido a su capacidad para permanecer en memoria el virus es capaz de anular la acción del Norton Antivirus si el usuario instala el programa tras la infección.
¿Cómo es el proceso de infección?
La única vía de infectarse con el virus Chernobyl, es ejecutar un
archivo infectado en la computadora destino. El archivo infectado, puede venir
de diferentes medios que incluye en como protagonistas principales: diskettes y descarga de archivos (Downloads) en la red.
¿Cómo puedo protegerme?
El mejor medio de protección es el uso de un anti-virus de forma permanente
en su máquina que tenga protección para CIH. Estos programas se alojan
en la memoria y son capaces de detectar la llegada del virus a la cual responden
con su eliminación inmediata. Otro mecanismo importante es tener mucho cuidado con los archivos que se abran los días 26
de cada mes, fecha en la cual está más vivo el virus.
¿Qué puedo hacer si estoy infectado?
Utilice el FreeWare que ofrecemos. Este limpiara de la memoria el Virus para luego utilizar Software Antivirus y Removerlo.
En caso de que ya tenga el virus un poco más avanzado y su máquina ya esté
presentando problemas, reinicie la máquina desde su floppy con un disco limpio de virus, borre los archivos infectados y restaure desde sus
backups.
AntiVirus: Ejecutar "Kill_CIH.exe",
es un FreeWare de Symantec , presiona el icono para descargarlo:
Copyright © 2000 FishLink
Todos Los Derechos Reservados
|
