|
|
| Nombre: | Win32/Cabanas Alias: |
| Tipo: |
Infector de archivos NewEXE PE (32 bits), Residente |
| Tamaño |
3000 bytes aprox. |
| Origen: | Venezuela, Diciembre/1997 |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
Descripción
Win32/Cabanas es un virus de 32 bits que funciona en Windows 95, Windows NT y Windows 3.x con el sistema Win32s.
Win32/Cabanas es el primer virus residente para Windows NT.
Win32/Cabanas ha sido creado por el mismo autor del virus WM/CAP, un adolescente de 15 años que se hace llamar "Jacky Querty".
Win32/Cabanas es un virus residente por procesos, semi-encriptado, con algunas capacidades de stealth y anti-heurística, también maneja técnicas de anti-depuración por lo que su trazado requiere conocimientos de la implementación del procesados 386+.
La primera vez que se ejecuta un archivo infectado, el virus desencripta parte de su código donde contiene los nombres de varias funciones de Windows, antes de llamar a estas funciones trata de obtener la dirección base del KERNEL32. Localizada la dirección base del Kernel, Win32/Cabanas infecta todos los archivos *.EXE, *.SRC del directorio \WINDOWS, \WINDOWS\SYTEM y el folder actual.
El virus se enlaza ("hookea") a las funciones GetProcAddress, GetFileAttributesA, GetFileAttributesW, MoveFileExA, MoveFileExW, _lopen, CopyFileA, CopyFileW, OpenFile, MoveFileA, MoveFileW, CreateProcessA, CreateProcessW, CreateFileA, CreateFileW, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, SetFileAttrA y SetFileAttrW.
Cuando un programa invoca estas funciones el virus se activa e infecta el archivo o proceso activo, algunas funciones son utilizadas también como ocultamiento.
Dentro del código del virus se puede encontrar (encriptado):
"(c) Win32.Cabanas v1.0 by jqwerty/29A"
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú