«Magistr» puede introducirse en un ordenador por tres vías distintas: en primer lugar, a través del correo electrónico, cuando un usuario ejecuta accidentalmente un fichero infectado recibido por email; en segundo lugar, a través de una red local infectando los programas que encuentra en los servidores y estaciones de trabajo; y en tercer lugar, a través de soportes magnéticos (disquetes, cdroms, etc…) o en programas descargados de Internet u otras redes.
Inmediatamente después de que el archivo infectado sea ejecutado, el virus inicia el procedimiento de penetración en el sistema, distribución masiva de sí mismo a través del correo electrónico, y, después de algún tiempo, activa su peligrosa rutina de destrucción.
Al ejecutar la rutina de distribución por correo electrónico, «Magistr» busca en todas las bases de mensajes del Outlook Express, Internet Mail y Netscape Messager, y en la Libreta de Direcciones de Windows, y recopila todas las direcciones que encuentra. Después guarda los detalles sobre estas bases de mensajes en un archivo especial con la extensi¢n DAT. El nombre del archivo lo selecciona a ra¡z de encriptar el nombre de la propia m quina, y dependiendo del primer car cter del nombre del archivo, lo guarda en el directorio ra¡z de C:, en el directorio Windows, o en la carpeta de Archivos de Programa.
Despu’s de esto, «Magistr» busca el servidor SMTP (correo saliente) que utiliza el ordenador infectado, y sin el conocimiento del usuario env¡a mensajes a trav’s de dicho servidor conteniendo ficheros EXE o SCR con nombres aleatorios y conteniendo copias del propio virus. El «Asunto» (Subject) del mensaje es seleccionado aleatoriamente de documentos DOC y TXT encontrados en el ordenador o de una lista de frases en Ingl’s, Espa_ol y Franc’s que contiene el propio virus. Esta variedad de posibilidades en la apariencia de los mensajes convierten al virus en muy dif¡cil de detectar por un usuario normal.
En uno de cada 5 mensajes enviados, el virus adjunta un fichero DOC o TXT al azar encontrado en el disco duro del usuario infectado. Eso implica que el virus puede enviar informaci¢n confidencial a trav’s del correo electr¢nico, si el documento enviado es un documento cr¡tico.
Es importante hacer notar que cuando el virus env¡a el mensaje infectado, aleatoriamente cambia la direcci¢n de retorno del que env¡a el mensaje a_adiendo o borrando caracteres. Esto ayuda aon m s al virus a permanecer oculto, ya que los que intentan responder al usuario para informarle de que est infectado no pueden contactar con ‘l al utilizar una direcci¢n incorrecta. As¡ pues, el usuario infectado no recibe mensajes inform ndole de tal infecci¢n.
Inmediatamente despu’s de que el virus sea ejecutado, «Magistr» infecta todos los programas EXE (programas ejecutables) y SCR (salvapantallas) que encuentra en las carpetas: Windows, WinNT, Win98 y Win98 de TODAS las unidades de disco duro locales y unidades de red conectadas a ese ordenador. Despu’s de esto, el virus busca recursos de red compartidos en otros ordenadores e infecta tambi’n todos los programas que encuentra en ellos.
Cuando infecta los archivos «Magistr» utilizas varias t’cnicas muy sofisticadas que complican muy significativamente su detecci¢n y desinfecci¢n. El virus se divide en tres partes, dos de ellas encriptadas con un fuerte algoritmo polim¢rfico.
Para asegurarse su constante presencia en los ordenadores infectados, «Magistr» modifica la configuraci¢n del fichero WIN.INI y el registro de Windows de forma que el virus es ejecutado de forma autom tica cada vez que el ordenador es arrancado. A trav’s de la red, el ordenador solo modifica el fichero WIN.INI.
La rutina destructiva del «Magistr» es extremadamente peligrosa. Un mes despues del primer d¡a de la infecci¢n el virus destroza todos los archivos en las unidades de disco locales y de red que est’n utilizando Windows NT/2000 reemplazando su contenido por el texto «YOUAREASHIT» (ERESUNMIERDA), lo que hace que los archivos no puedan ser recuperados de ninguna manera. Bajo Windows 95/98 el virus adem s borra la memoria CMOS del ordenador (donde se guarda la fecha, la hora y la configuraci¢n de hardware del ordenador) y, al igual que hace el virus CIH (Chernobyl), destroza la Flash Bios del ordenador, lo que obligar al usuario a cambiar la placa base de su m quina.
Despu’s de esto, muestra un mensaje con el siguiente texto:
Another haughty bloodsucker…….
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
(Otra altiva sanguijuela……
PIENSAS QUE ERES DIOS,
PERO SOLO ERES UN PEDAZO DE ****)
Dependiendo de algunos contadores internos, el virus ejecuta adem s otra rutina que simula un juego o un t¡pico programa de divertimento: si un usuario intenta apuntar un icono con el rat¢n, el icono se mueve impidiendo que el usuario pueda hacer click sobre ‘l.
«En este caso en concreto nos enfrentamos a un virus muy complejo y tecnol¢gicamente muy avanzado, que adem s es potenciado por las m s eficaces t’cnicas de infecci¢n, reproducci¢n y ocultamiento, y que tiene un efecto altamente destructivo» comenta Denis Zenkin, Jefe del Departamento de Comunicaciones de Kaspersky Labs. «Es un hecho que ‘Magistr’ es el resultado de combinar de forma eficaz la velocidad de reproducci¢n del ILOVEYOU y los efectos destructivos del CHERNOBYL«.
Teniendo en cuenta la alta peligrosidad y velocidad de reproducci¢n del virus «Magistr», se recomienda a los usuarios la actualizaci¢n inmediata de las bases de virus.
