|
Esta es una versión mejorada y mucho más compleja que su poderoso predecesor Magistr, que también es un gusano de auto-envío masivo a los buzones de correo (@mm es la abreviación de Mass Mailer), empleando la técnica de virus anexados.
Magistr.B fue reportado en diversas ciudades del mundo los últimos días de la primera semana de Septiembre del 2001 y está desarrollado en lenguaje Assembler, con una sofisticada técnica de programación. Es polimórfico, está encriptado, emplea una técnica de anti-debbuging para hacer más difícil su desensamblaje por los desarrolladores de antivirus y tiene notorias diferencias con su predecesor.
Infecta todos los sistemas operativos de 32 bits de Microsoft: Windows 95/98/NT/Me/2000 y se auto envía a la libreta de direcciones de Windows, Outlook Express, Netscape Messenger y Eudora Mail.
Los mensajes enviados por Magistr.B son aleatorios, ya que contienen diferentes temas, cuerpos de mensaje y archivos anexados, por lo general con extensiones .COM, .EXE, .PIF y .BAT.
Los archivos anexados aleatorios, pueden ser más de uno, y hasta pueden ser enviados archivos gráficos con extensión .GIF que el gusano rescata del sistema infectado Las direcciones de correo son grabadas en una ubicación aleatoria del disco, en un archivo oculto con extensión .DAT.
Mientras infecta una unidad de disco local, el gusano encripta una rutina de entrada, con una "Llave" que depende del nombre de la computadora. Este efecto hace mucho más difícil la desinfección del sistema.
Magistr.B emplea una llave de 32 bits, la misma que aleatoriamente puede tomar cualquier valor o combinar instrucciones aritméticas y de desplazamiento de bits, logrando que el gusano tome múltiples formas. Además emplea la técnica de infección denominada EPO (Entry Point Obscuring), que dificulta la detección y eliminación de los virus generados.
Algunos de los textos ocultos, hallados en el cuerpo del gusano:
(en inglés)
"sentences you sentences him to sentence you to ordered prison, convict, judge circuit trial judge found guilty find him guilty affirmed judgment of conviction verdict guilty plea trial court trial chamber sufficiency of proof sufficiency of the evidence proceedings against the accused habeas corpus jugement condamn trouvons coupable"
(en francés")
"rembourse sous astreinte aux entiers depens aux de pensayant de libre le present arretvu l'arret conformement e la loi execution provisoire rdonn audience publique a fait constater cadre de la procedure magistrad apelante recursode apelaci penade"(en español)
"arresto y condeno mando y firmo calidad de denunciante costas procesales diligencias previas antecedentes de hecho hechos probados sentencia comparecer juzgando dictando la presente los autos en autos denuncia presentada"También el gusano puede capturar los nombres de archivos de un equipo infectado y auto-enviarlos a los buzones de correo. Lo cual significa que puede generar un número ilimitado de variantes.
Su payload ha sido mejorado y cambiado por otras instrucciones que sobrescriben el archivo WIN.COM del directorio de Windows y el archivo NTLDR en el directorio raiz C:\ , con un programa que borra la información del disco duro al reiniciarse un sistema infectado. Este efecto destructor se produce tanto en las unidades de disco locales, así como en las de Redes.
El NTLDR (NTLOADER) es el programa que carga el sistema operativo y muestra en pantalla el logo de Windows NT. Puede borrar la configuración del sistema (CMOS), grabada en el Flash BIOS.
Magistr.B, al igual que su primera versión infecta los archivos Win32 PE (Portable Ejecutable). También infecta las unidades de Red, buscando varios nombres del directorio de Windows:
WINNT WINDOWS WIN95 WIN98 WINME WIN2000 WIN2K WINXP
En forma aleatoria, los archivos infectados son sobre-escritos con la palabra YOUARESHIT (ERESMIERDA) y otros son simplemente borrados.
El gusano se auto-copia en los archivos WIN.INI (en el Windows Run) y el SYSTEM.INI (en el Boot Shell). También busca los archivos GIF y puede auto-enviar imágenes así como limpiar los archivos DOC, al igual que la primera versión del gusano Magistr. Asimismo destruye los archivos .NTZ, cada vez que los encuentra y desactiva el Firewall del ZoneAlarm, en el caso que este programa se encuentre instalado en el sistema infectado.
PER ANTIVIRUS® versión 7.0 actualizado al 10 de Septiembre del 2001, detecta y elimina eficientemente este gusano y las variantes reportadas a la fecha.
