Un juego de Disney Interactive, distribuido en España por Infogrames, lleva en su interior el virus CIH activado, uno de los más dañinos de toda la historia. Una «sorpresa» que ambas compañías han tratado de silenciar.
Tanto Disney como la distribuidora, conocedoras del problema tiempo atrás, omitieron cualquier comunicado alertando públicamente de este grave incidente que, a día de hoy, los usuarios siguen sufriendo en forma de pérdidas irrecuperables de información a base de discos duros formateados y, en algunos casos, daños en el hardware de sus equipos.
La sospecha se originó a finales de Abril cuando dos lectores tuvieron que reinstalar el sistema del ordenador personal de un compañero de trabajo cuyo disco duro apareció totalmente irreconocible, al parecer por la acción de un virus. El compañero volvió al segundo día con el PC, ya que por un descuido no habían configurado correctamente el vídeo, fue entonces cuando descubrieron que el sistema se encontraba de nuevo infectado, concretamente el archivo «RT4.EXE», perteneciente al juego «El Reino de las Matem ticas con Aladdin». El desconcierto surge cuando ningon antivirus detecta presencia alguna del virus en el CD original de instalaci¢n.
En ese punto, y ante la duda, deciden ponerse en contacto con Hispasec adjuntando el CD motivo de la sospecha. En una r pida mirada al contenido del CD pudimos confirmar la existencia del virus CIH, el motivo por el que ningon producto detectaba su presencia era porque ‘ste se encontraba en un fichero renombrado y comprimido en un formato no soportado por los antivirus.
Durante el proceso de instalaci¢n el archivo infectado se renombra como ejecutable y es copiado en el disco duro. Cualquier ejecuci¢n del juego a posteriori pasa por el archivo infectado, por defecto en «C:DISNEYELREINORT4.EXE», lo que provoca que el virus CIH se quede residente en memoria y comience la infecci¢n de todo el sistema. Cuando un usuario, en el mejor de los casos, detecta la presencia del virus antes de que ‘ste lleve su a cabo su acci¢n da_ina, es muy probable que el virus haya infectado una gran cantidad de ficheros por lo que se presenta dif¡cil relacionar al juego de Disney como origen de la infecci¢n. Es mucho m s f cil echar la culpa a los programas «pirata» o al comod¡n de Internet.
En contacto con Infogrames, distribuidora en Espa_a de los juegos de Disney Interactive, y tras una serie de mensajes, llegan a admitir la existencia del virus en el CD. Preguntados por las acciones que pensaban tomar al respecto, nos indican que procedieron en su d¡a a la retirada de este software del mercado, y desde entonces se ha dejado de comercializar. ¨Qu’ ocurre con los usuarios que compraron el software? ¨Por qu’ no se ha emitido un comunicado poblico avisando de un CD que sigue causando infecciones? Preguntas que se quedaron sin contestar. Mientras tanto «Aladdin» sigue su particular siembra del virus CIH.
En un oltimo escrito Infogrames nos comunica que creen haber tomado todas las medidas oportunas, y que, en cualquier caso, al CD acompa_a informaci¢n sobre como contactar con su servicio t’cnico para tratar los problemas de forma individualizada. Vista la buena disposici¢n, desde aqu¡ animo a todos los usuarios afectados a contactar con el servicio t’cnico de Infogrames, a la espera de conocer c¢mo restaurar los da_os directos y colaterales, ya que es dif¡cil establecer cu ntos sistemas se han visto afectados de forma indirecta, por haber compartido red local o ficheros con los sistemas infectados. De todas formas, me sigue pareciendo mucho m s rentable para todos, y un ejercicio de responsabilidad, el que hubieran hecho poblico en su d¡a un sencillo comunicado avisando de la existencia del virus. M s vale prevenir que curar.
El virus CIH
Win95.CIH es un virus para Windows 95/98 que lleva a cabo su «payload», o acci¢n da_ina, el 26 de Abril, d¡a al que debe su alias «Chernobyl», al coincidir con el desastre nuclear de 1986. Su origen se remonta a junio de 1998, cuando Chen Ing-Hau, cuyas iniciales dan lugar al nombre del virus, desarroll¢ el programa mientras cursaba sus estudios de ingenier¡a inform tica en el Instituto de Tecnolog¡a Tatung de Taiwan.
Pero lo que ha hecho famoso a este virus son las acciones da_inas que lleva a cabo al activarse, adem s de borrar la informaci¢n de todos los discos duros, sobrescribiendo la MBR y los sectores de arranque. CIH es capaz de da_ar determinados tipos de BIOS, siendo la onica soluci¢n la sustituci¢n de la pieza de hardware por una nueva, obligando a llevar el ordenador al servicio t’cnico.
Bernardo Quintero
bernardo@hispasec.com
DISNEY DISTRIBUYE UN VIRUS INFORM-TICO
255
