TECNICA DEL TÚNEL, virus que sortean las vacunas de antivirus conocidos

© Jorge Machado  Lima-Perú

Un virus que emplea la técnica del "túnel" intercepta los manipuladores de la interrupciones del DOS y el BIOS y en los sistemas operativos de 16 bits y las invoca directamente, evadiendo de este modo cualquier actividad de monitoreo de las vacunas antivirus. 

Existen ahora gran cantidad de estas especies virales, con la tendencia a incrementarse, habiéndose descubierto virus que usan originales artimañas para infectar a un sistema sin ser descubiertos. Mencionaremos el caso particular del búlgaro DARK AVENGER-D, el virus peruano ROGUE II y el chileno CPW Arica para los sistemas D.O.S.

Todos ellos tienen rutinas que en forma muy rápida se superponen a los IRQ's ocupados por las vacunas logrando desactivarlas para acceder directamente a los servicios del DOS y del BIOS tomando absoluto control del sistema y sin restricción alguna. Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de Microsoft y otros antivirus son muy conocidas por los creadores de virus.

Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus suelen utilizar esta técnica en su necesidad de "by-pasear" un virus nuevo y desconocido que podría estar activo cuando se está explorando un sistema. 

Sin embargo los virus contemporáneos tienen pequeños programas que termina, deshabilitan o borran los software antivirus, firewalls, de monitoreo y herramientas de sistema. Por ejemplo:

//<-----------------------AntivirusNull_Process----------------------->

char* bad_windows_list[BW_TOTAL] = {"Norton","AVP","Anti","Virus","McAfee","anti","virus"};
char* Extensions[TOTAL_EXT] = {".DBX",".MBX",".WAB",".HTML",".EML",".HTM",".IDX",".SHTML",".NCH"};

char* bad_processes_list[BP_ROWS][BP_COLS] = { {"AVP32.EXE","AVPMON.EXE","ZONEALARM.EXE","VSHWIN32.EXE","VET95.EXE","TBSCAN.EXE","SERV95.EXE"},
{"SCAN32.EXE","RAV7.EXE","NAVW.EXE","OUTPOST.EXE","NMAIN.EXE","NAVNT.EXE","MPFTRAY.EXE"},
{"LOCKDOWN2000.EXE","ICSSUPPNT.EXE","ICLOAD95.EXE","IAMAPP.EXE","FINDVIRU.EXE","F-AGNT95.EXE","DV95.EXE"},
{"DV95_O.EXE","CLAW95CT.EXE","CFIAUDIT.EXE","AVWUPD32.EXE","AVPTC32.EXE","_AVP32.EXE","AVGCTRL.EXE"},
{"APVXDWIN.EXE","_AVPCC.EXE","AVPCC.EXE","WFINDV32.EXE","VSECOMR.EXE","TDS2-NT.EXE","SWEEP95.EXE"},
{"SCRSCAN.EXE","SAFEWEB.EXE","PERSFW.EXE","NAVSCHED.EXE","NVC95.EXE","NISUM.EXE","NAVLU32.EXE"},
{"MOOLIVE.EXE","JED.EXE","ICSUPP95.EXE","IBMAVSP.EXE","FRW.EXE","F-STOPW.EXE","ESPWATCH.EXE"},
{"DVP95.EXE","CLAW95.EXE","CFIADMIN.EXE","AVWIN95.EXE","AVPM.EXE","AVP.EXE","AVE32.EXE"},
{"ANTI-TROJAN.EXE","WEBSCAN.EXE","WEBSCANX.EXE","VSSCAN40.EXE","TDS2-98.EXE","SPHINX.EXE","SCANPM.EXE"},
{"RESCUE.EXE","PCFWALLICON.EXE","PAVCL.EXE","NUPGRADE.EXE","NAVWNT.EXE","NAVAPW32.EXE","LUALL.EXE"},
{"IOMON98.EXE","ICMOON.EXE","IBMASN.EXE","FPROT.EXE","F-PROT95.EXE","ESAFE.EXE","CLEANER3.EXE"},
{"EFINET32.EXE","BLACKICE.EXE","AVSCHED32.EXE","AVPDOS32.EXE","AVPNT.EXE","AVCONSOL.EXE","ACKWIN32.EXE"},
{"VSSTAT.EXE","VETTRAY.EXE","TCA.EXE","SMC.EXE","SCAN95.EXE","RAV7WIN.EXE","PCCWIN98.EXE"},
{"PADMIN.EXE","NORMIST.EXE","NAVW32.EXE","N32SCAN.EXE","LOOKOUT.EXE","IFACE.EXE","ICLOADNT.EXE"},
{"IAMSERV.EXE","FP-WIN.EXE","F-PROT.EXE","ECENGINE.EXE","CLEANER.EXE","CFIND.EXE","BLACKD.EXE"},
{"AVPUPD.EXE","AVKSERV.EXE","AUTODOWN.EXE","_AVPM.EXE","AVPM.EXE","KPFW32.EXE","KPF.EXE"}};

El código anterior pertenece al gusano Avril.B desarrollado en MS Visual C++, por un joven ruso de 18 años.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS