FANDOM


Magistr, ocasionalmente llamado Disemboweler, es un peligroso gusano de correo electrónico que se ejecuta en Windows 9x y en Windows NT. Se propaga a otras computadoras a través del correo electrónico y también infecta archivos. Además, Magistr tiene un payload que elimina archivos y destruye el chip BIOS. Es comparable a otros virus potencialmente muy peligrosos, como CIH, MyPics y Kriz. También comparte algunas características del virus Dengue. Magistr, debido a su enorme tamaño y variedad de payload, es uno de los virus más complejos jamás creados.

EjecuciónEditar

Cuando se ejecuta un archivo infectado con Magistr, intenta cargarse en la memoria parcheando el proceso Explorer.exe con una rutina de 110 bytes que carga el resto del virus en la memoria del Explorer. La función TranslateMessage está enganchada para apuntar a ese código. Opera en la memoria como un hilo del proceso Explorer. Después de completar esta parte de la infección, el gusano duerme durante tres minutos.

Magistr luego encuentra el nombre de la computadora infectada y lo convierte en una cadena base 64. Dependiendo de la primera letra de esta cadena, crea un archivo en la carpeta de Windows, la carpeta de archivos de programa o la raíz del disco duro. Este archivo contendrá información que incluye la ubicación de las libretas de direcciones y la fecha de la infección.

Obtiene la dirección de correo electrónico del usuario actual. Comprueba el registro de Outlook, Exchange, Internet Mail y News, luego el archivo Prefs.js para Netscape. Agrega esto a una lista de las diez direcciones de correo electrónico más recientes que ha infectado.

Magistr comprueba si hay una conexión a Internet activa y, si hay una, comienza a construir un correo electrónico para enviar un archivo infectado. Busca en el sistema los archivos .doc y .txt y usará texto aleatorio de uno de ellos para construir la línea del remitente y el cuerpo del correo electrónico en el que se enviará. Hay un 20% de posibilidades de que Magistr adjunte el archivo que elija. al correo electrónico, Algunos informes dicen que puede enviar hasta seis archivos. Busca hasta 20 archivos .exe y .scr de menos de 128 kilobytes e infecta a uno de ellos. El archivo infectado se adjuntará al correo electrónico.

Una vez que se ha enviado el correo, Magistr busca 20 archivos .exe y .scr en el sistema local y en la red e infecta uno de ellos. Si la carpeta de Windows se llama Winnt, Win95, Win98 o Windows, hay un 25% de probabilidad de que mueva el archivo infectado a esa carpeta y realice un pequeño cambio en el nombre del archivo, y agregue una línea "ejecutar =" (este es equivalente a las claves de registro Ejecutar) en el archivo Win.ini con el nombre y la ruta del archivo infectado que se le agregó. En todos los demás casos, agrega el nombre del archivo infectado (sin extensión) como una subclave a la clave de ejecución de la máquina local y el nombre completo y la ruta del archivo a esta subclave.

InfecciónEditar

En el punto de entrada del archivo infectado, habrá 512 bytes de código basura que transfieren el control del programa al virus. Magistr encripta su código principal con un motor polimórfico y se agrega al archivo. Un archivo infectado no se ejecutará después de ser infectado, por lo que el usuario no se dará cuenta de un programa que se inicia al azar cada vez que se inicia la computadora.

Payload
Message
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD,BUT YOU ARE ONLY A CHUNK OF SH*T.

El mensaje no esta censurado en la versión original de virus.

Después de que la computadora se ha infectado durante un mes, se hayan enviado 100 correos electrónicos con el virus y se encuentra que tres archivos en el sistema contienen texto relacionado con procesos penales, Magistr activa su payload. Elimina todos los archivos infectados. Sobrescribe cada 25º archivo de texto que encuentre en el sistema con "YOUARESH * T" (sin censura) tantas veces como corresponda en cada archivo. Esto corrompe los archivos infectados.

El payload de Magistr también puede hacer que un sistema sea inoperable. Elimina todos los demás archivos en el sistema. Aparecerá el mensaje vulgar anterior. Si se presiona OK y el sistema es Windows 9x, el virus sobrescribe un sector del primer disco duro en un bucle infinito, causando el bloqueo de la computadora. En Windows NT, no ocurre nada luego de presionar OK. En Windows 9x, borrará el CMOS y, si es posible, el BIOS. Esto puede hacer que la computadora no se pueda iniciar, compartiendo comportamientos de CIH, CMOSDead, Kriz, FlashKiller, Mypics, AntiCMOS y Bumerang, aunque muchos otros también. Si la computadora aún sobrevive al ataque CMOS o BIOS, los archivos de inicio aún se eliminan o sobrescriben, lo que significa que el sistema ya no arrancará y se necesita reinstalarlo.

Si el virus ha estado en el sistema dos meses (y suponiendo que el sistema aún funciona), en días impares, volverá a colocar iconos de escritorio cuando el mouse pase sobre ellos, haciendo que parezca que están huyendo, similar a la primera carga de Shoerec .

Si el sistema ha estado infectado durante tres meses y aún funciona, la ejecución del archivo infectado se elimina, junto con la mayoría de los demás, pero no muestra un mensaje ni destruye el BIOS o CMOS. Esto llevaría a que la computadora no se inicie debido a la eliminación de los archivos de inicio.

Si se encuentra un depurador en el sistema en cualquier momento y se ejecuta el depurador, Magistr causará una falla de protección general y hará que la aplicación o la computadora se bloqueen.