Virus Beah

Efectos:

Los efectos de Beah son:

• Ataca al sector de arranque de los disquetes (Boot) y al de los discos duros (Master Boot).
• Sustituye el sector de arranque original del disco duro por otro infectado. Esto lo consigue moviendo el sector de arranque original a otra sección del disco duro. Esta técnica se conoce como Stealth.
• No cifra el sector de arranque original, lo que hace posible su recuperación.
• Infecta todos los disquetes que se utilicen en el ordenador afectado, siempre que no estén protegidos contra escritura.
• Impide el correcto arranque del ordenador infectado, especialmente si se tiene instalado Windows NT.
• Desactiva la protección establecida en la CMOS contra los virus de Boot y así evita ser detectado.

Metodo de infección:

El método de infección de Beah sigue este patrón:

• Se transmite al ordenador cuando éste se arranca con un disquete contaminado por el virus.
• Beah pasa desde el disquete infectado a la memoria del ordenador, colocándose en ella como residente. Concretamente, el virus ocupa 1 Kbyte en la TOM (Top of memory o memoria alta).
• Beah infecta todos los disquetes que se utilicen, aprovechándose de su posicionamiento en la memoria.
  Para conseguirlo, intercepta la interrupción INT 13 que proporciona los servicios BIOS del disco duro.
• Beah mueve el sector de arranque original del disco duro (del sector 0, cara 1, cilindro 0 al sector 14, cara 0, cilindro 0).
• Sin embargo, después de realizar estos pasos, Beah no cifra el sector de arranque original. Esto hace posible su recuperación.

Metodo de propagación:

Beah sólo se propaga a través de disquetes, del siguiente modo:

• Infecta el disco duro cuando el ordenador se arranca con un disquete contaminado por el virus.
• Contagia a todos los disquetes que se utilicen en el ordenador afectado. Éstos, a su vez, infectarán a otros ordenadores.

Otros detalles:

Cuando Beah realiza cifrados, lo hace mediante una operación XOR (OR-Exclusive) con máscara de Byte.