Nombre |
WCE/Dust.A |
Tipo |
Virus |
Alias |
Duts.1530, Dtus, WinCE.Duts.a, WinCE/Dust.A, WinCE4/Dust,
Duts.1530.A, Duts.1520, WCE/Duts-A, WinCE.Duts.a, WINCE_DUTS.A |
Fecha |
17/jul/04 |
Plataforma |
Windows CE |
Tamaño |
1,520 bytes; 1,536 bytes |
Fuente http |
//www.vsantivirus.com/dust-a.htm |
Se trata de un virus de 1,520 o 1,536 bytes, que infecta plataformas Windows CE
.NET
Windows CE es el sistema operativo usado en dispositivos móviles de 32-bits.
Soporta múltiples arquitecturas de CPU y opciones incluidas de comunicación y
redes, y es utilizado en terminales Web, dispositivos de acceso a Internet,
controladores industriales especializados, computadoras de bolsillo (Pocket PCs),
etc.
El virus, infecta dispositivos ejecutándose en los siguientes sistemas
operativos:
PocketPC 2000
PocketPC 2002
PocketPC 2003
Se trata de un programa compilado para procesadores ARM, y cuando se ejecuta,
muestra el siguiente mensaje:
WinCE4.Dust by Ratter/29A
Dear User, am I allowed to spread?
[ Yes ] [ No ]
Si el usuario responde afirmativamente, el virus infecta todos los archivos con
extensión .EXE que se encuentren en el directorio raíz de los dispositivos en
los que se ejecute.
Se copia en la última sección del ejecutable, y cambia el header del archivo,
para que la llamada de entrada apunte al comienzo del virus. Luego de su
ejecución, le devuelve el control al programa original.
Para no volver a infectar archivos ya infectados, el virus examina si existe en
determinado lugar no utilizado de la cabecera del .EXE, la cadena "atar", señal
que utiliza como marca de infección.
Se trata de una prueba de concepto (POC), que demuestra la posibilidad de
infectar dispositivos para la plataforma PocketPC.
El virus es del tipo parásito, agregándose él mismo al final de los archivos
infectados.
En su código, contiene también el siguiente texto:
This is proof of concept code. Also, i wanted to make avers happy.The situation
when Pocket PC antiviruses detect only EICAR file had to end ...
:
This code arose from the dust of Permutation City.
Los archivos infectados deben cumplir las siguientes condiciones:
- Estar compilados para el procesador ARM (ARM es una especificación de
procesadores RISC, fabricado por Intel y otros, y utilizado en PocketsPC, etc.)
- Usar interfase gráfica Windows CE versión 4.0
- Poseer un tamaño menor a 4 Kb, y estar ubicados en el directorio raíz del
dispositivo.
Los creadores de este virus (el grupo 29A), son los mismos del primer gusano
para teléfonos móviles, el "Cabir".
El virus no se encuentra en la calle, y por lo tanto no existen reportes de
infección. No es considerado un riesgo al momento actual, y su única
probabilidad de propagación sería a través del intercambio de programas entre
usuarios de PocketPC PDA.
Además de ello, el virus pide permiso para infectar al usuario (Dear User, am I
allowed to spread?). Si la respuesta es "No", el virus no realiza ninguna otra
acción.
|