Magistr.B

La infección de Magistr.B afecta a todos los ficheros de tipo PE (Portable Executable) que tengan extensión EXE y SCR localizados en el disco duro del ordenador atacado y en las unidades de disco accesibles a través de una red informática.

Sin embargo, Magistr.B no infecta aquellos ficheros que tienen extensión EXE y SCR, cuyo nombre comienza por GRPC.

Los efectos que produce Magistr.B, son:

• En el 95% de los casos, este gusano deja inservibles los ficheros existentes, incluyendo dentro de ellos el texto YOUARESHIT.
  Esto ocurre en las unidades de disco del ordenador afectado, en las unidades mapeadas de la red, o en aquellas que el propio Magistr.B pueda mapear.
  
  En el 5% restante, borra los ficheros que encuentra, en lugar de sobrescribirlos.

• Destruye los ficheros con extensión NTZ.
• Cierra la ventana del programa Firewall, denominado ZoneAlarm, si éste se encuentra instalado en el ordenador afectado.
• Mueve los iconos del Escritorio en la dirección a la que se desplaza el puntero del ratón.
• Incluye código dentro de los ficheros \NTLDR y \WINDOWS\WIN.COM. Después de esto, cuando los ficheros son ejecutados, Magistr.B sobrescribe sectores del disco duro principal.
• Borrar sectores del disco duro, en ordenadores con Windows ME/98/95. A continuación, Magistr.B espera 0,9 segundos y entra en un bucle para volver a sobrescribir ficheros.

Magistr.B es un virus polimórfico y, por tanto, emplea un método diferente de infección en cada ocasión. Su patrón de actuación genérico es:

• Cifra los ficheros que infecta utilizando el nombre del ordenador al que ataca. Magistr.B utiliza una operación XOR para realizar el cifrado de los ficheros mientras los mantiene bloqueados, es decir, no se pueden utilizar.
  Además, los ficheros infectados en el ordenador en el que se produce la infección no funcionan correctamente en otros ordenadores.
• Busca los ficheros WIN.INI y SYSTEM.INI, para modificarlos y asegurar así su activación en el siguiente arranque del ordenador.
  En concreto, Magistr.B busca estos ficheros en los siguientes directorios: WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K y WINXP. 
• Cuando se ejecuta un fichero infectado, Magistr.B comprueba si se está ejecutando el Explorador de Windows. Esto lo hace buscando el programa EXPLORER.EXE en la memoria del ordenador.
• Se protege a sí mismo, para evitar ser detectado y analizado.
• Para conseguir esto, utiliza técnicas anti-debug, que le permiten detectar si su código está siendo analizado o si un programa que ejecute esta operación (por ejemplo, Softice) está instalado.

Magistr.B utiliza el correo electrónico para propagarse y realizar su infección. El mensaje de infección tiene características muy variables, por lo que es difícil reconocerlo a simple vista.

Concretamente, el contenido del mensaje será un texto que Magistr.B habrá recogido al azar de un fichero existente en el ordenador afectado.

Magistr.B envía sus mensajes a los usuarios cuya dirección encuentra en la Libreta de direcciones y en las bases de datos de mensajes (ficheros con extensiones DBX y MBX) de los programas de correo Outlook Express y Eudora.

El mensaje de infección contiene un fichero con extensión PIF, COM, BAT o EXE. En ocasiones, además incluirá otro fichero con alguna de las siguientes extensiones: DOC, TXT, INI o GIF.