Virus Disemboweler

Efectos:

La infección de Disemboweler afecta a todos los archivos con extensión EXE y SCR localizados en el disco duro del ordenador atacado y en las unidades de disco accesibles a través de una red informática.

Los efectos de Disemboweler son:

• Deja inservibles todos los archivos de todas las unidades de disco, si el sistema operativo del ordenador es Windows 2000 o Windows NT.
  Para conseguirlo, Disemboweler sobrescribe el contenido de cada uno de los archivos, escribiendo dentro de ellos el texto YOUARESHIT. Esta acción sólo la lleva a cabo cuando ha transcurrido un mes desde que se produjo la infección.
• Borra la memoria CMOS y sobrescribe determinadas secciones del disco duro, sólo si el sistema operativo del ordenador es Windows 95 o Windows 98.
• Introduce el nombre de los archivos infectados, en la sección [windows] del archivo WIN.INI:
  
  [windows]
  run = <nombrearchivo>.EXE
• Disemboweler busca el archivo WIN.INI en los siguientes directorios de todas las unidades de disco:
  WINNT, WINDOWS, WIN95, o WIN98.

Metodo de infección:

Disemboweler es un virus polimórfico y, por tanto, emplea un método diferente de infección en cada ocasión. Su patrón de actuación genérico es:

• Produce su infección cuando se ejecuta un archivo contagiado, que llega incluido dentro del mensaje de correo.
• Utiliza sofisticadas técnicas para realizar sus infecciones, como la modificación del punto de entrada del archivo infectado. Disemboweler sobrescribe los primeros Bytes (más de 512 Bytes) de dicho archivo.
• En todas las infecciones se aprecia un aumento del tamaño de los archivos afectados (aproximadamente en 28 Kb).
• Se protege a sí mismo, tratando de evitar su detección e investigación.
• Para ello, utiliza técnicas anti-debug, que le permiten saber si está siendo investigado (traceado) o si existe algún programa con esta finalidad (por ejemplo, Softice).
• Cuando se ejecuta un archivo infectado, Disemboweler comprueba si se está ejecutando el Explorador de Windows.
• Esto lo hace buscando el programa EXPLORER.EXE en la memoria del ordenador.
• Crea un archivo con extensión DAT, en el que guarda algunas de las direcciones de correo electrónico a las que se reenvía.
• El nombre del archivo se forma con el nombre del ordenador infectado, sustituyendo cada uno de sus caracteres por el correspondiente del abecedario en orden inverso. Por ejemplo, si el ordenador tiene por nombre ABCD-15, el archivo llevará por nombre YXWV-15.DAT.
• Activa una función que le permite esperar tres minutos antes de enviarse por correo electrónico e infectar los archivo con extensión EXE y SCR.
  Para conseguirlo, captura (hook) y activa la función TranslateMessage. Entonces, Disemboweler crea un hilo de ejecución o thread que le permite esperar tres minutos antes de continuar con sus acciones.
• Disemboweler es ejecutado automáticamente cada vez que se inicia Windows. Con este fin, crea una entrada en la siguiente ruta del Registro de Windows:
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

Metodo de propagación:

Disemboweler utiliza principalmente el correo electrónico para propagarse y realizar su infección. El mensaje que utiliza presenta las siguientes características:

• El asunto y el texto están formados, de forma aleatoria, por términos de la siguiente lista:
  sentences you, sentences him to, sentence you to, ordered to prison, convict, judge, circuit judge, trial judge, found guilty, find him guilty, affirmed, judgment of conviction, verdict, guilty plea, trial court, trial chamber, sufficiency of proof, sufficiency of the evidence, proceedings, against the accused, habeas corpus, jugement, condamn, trouvons coupable, à rembourse, sous astreinte, aux entiers dépens, aux dépens, ayant délibéré, le présent arrêt, vu l,27h,arrêt, conformément à la loi, exécution provisoire, rdonn, audience publique, a fait constater, cadre de la procédure, magistrad, apelante, recurso de apelaci, pena de arresto y condeno, mando y firmo, calidad de denunciante, costas procesales, diligencias previas, antecedentes de hecho, hechos probados, sentencia, comparecer, juzgando, dictando la presente, los autos, en autos, denuncia presentada.
  Además, otros asuntos y contenidos del mensaje corresponden a textos que Disemboweler encuentra en los ficheros con extensión TXT, JS y DOC que ya ha infectado previamenteen el sistema.
• Normalmente, el mensaje adjunta un único fichero. Sólo en uno de cada cinco mensajes que envía, se incluye más de un fichero.
• Disemboweler reenvía su mensaje de infección a un elevado número de destinatarios o direcciones de correo electrónico. Concretamente, a las siguientes:
  
  - A todas las que encuentra en la Libreta de direcciones (fichero conextensión WAB).
  
  - A todas las que localiza en otros mensajes de correo existentes. Para lograrlo, Disemboweler examina los programas de correo: Outlook, Internet Mail y Netscape Messeger (ficheros con extensión MDX y DBX).
  
  - A todas las que encuentra dentro de los ficheros con extensión JS.
• Disemboweler guarda todas las direcciones a las que se reenvía, dentro de un fichero con extensión DAT.

Otros detalles:

Disemboweler contiene la siguiente cadena de texto dentro de su propio código de infección, que hace referencia al nombre del virus y a su hipotética procedencia.

Además, el código de infección, se encuentra cifrado.