Nombre de virus: W95/CIH .1106
Alias conocidos: CHERNOBYL
Riesgo Infección: MEDIO (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de ficheros infectados
Propagación: Por ejecución de un gusano llegado por e-mail o descarga de Internet que lo lleva como parásito
Detección: desde DATS 4236
Motor necesario: desde 4.1.40
Infección actual: Inicial (Inicial, Media, Elevada)

Nueva variante de virus CIH que se activa el día 2 de cada mes

Ya desde el año 1998 controlamos el virus CIH, tristemente conocido por su activación en determinadas fechas, borrando sectores del disco duro, desde el sector cero hasta el final del 1er Mb, o en algún caso sólo los primeros 500 Kb, pero siempre impidiendo el posterior arranque y acceso a los datos del disco duro, además de intentar alterar también el contenido del BIOS, lográndolo si son Flash Eprom (actualizables por software), en cuyo caso ya ni se tiene el software mínimo para entender el arranque desde disquetes con sistema operativo, debiéndose reprogramar dichas EEPROMS externamente para que pueda volverse a operar con el ordenador afectado.

De estos CIH, el primero se activaba cada 26 de Abril, siendo identificado como CIH 1003, siendo 1003 bytes el tamaño del virus en aquel caso, aunque no se aprecia en los ficheros infectados, pues se integra dentro de los

huecos o espacios en blanco, a trozos, quedando aparentemente iguales el original y el infectado.

Posteriormente han aparecido variantes con otras fechas de activación, como el 26 de cada mes, el 19 de Mayo, o el aparecido este mismo año, de 1049 bytes, que se activa cada 2 de Agosto. El de ahora viene a ser una variante de este último, pero que se activa cada día 2 de cada mes, propagándose en máquinas con sistemas operativos Windows 95, 98 y Me, pero activándose tanto en estas máquinas como en las que se tienen NT, 2000 y XP, si bien en ellas no se propaga infectando mas ficheros.

Como sea que el CIH es un infector pero no un gusano que navegue por Internet, en el último caso fué el virus KLEZ el que se cuidó de transportar el CIH 1049 y ahora, con el 1106, lo puede hacer otra vez el KLEZ, o los últimos virus de ahora, desde el Bugbear, pasando por el Opaserv o el Braid, y llegando hasta el Korvar, si bien este último ya es lo bastante maligno como para borrarlo todo sin necesidad de añadir su malicia a la del CIH.

Es por ello que, además de convenir estar actualizado con la última versión del antivirus (versión 4.5.1, SP1, con definiciones de virus 4.0.4236 y motor 4.1.60), es muy importante comprobar que se tenga el Internet Explorer con la versión 6.0 y el último parche aplicado, o si se usa Windows 95, tener el I.E. 5.5 con SP1 y también el último parche acumulativo instalado.

No es peor esta versión que las anteriores, sólo que su fecha de activación es cada mes, por lo que hay mas probabilidades de afectar, pero al igual que las otras, si el sistema operativo es FAT32 y el disco duro superior a 2 Gb, puede recuperarse el acceso a la información, con la utilidad MRECOVER, dado que el borrado de los sectores llega hasta antes de donde empieza la 2ª FAT, pudiendo de la segunda recuperar la primera, y con SCOPY /CIH, recuperar partición y BOOT. Luego, arrancar en MSDOS (sólo símbolo de sistema), y no olvidarse de eliminar el virus. Por supuesto que si se está en día 2, mejor cambiar la fecha para que no se vuelva a activar al reiniciar Windows.

Si el virus es simplemente detectado por el antivirus, a tiempo de evitar la pérdida al acceso de datos, simplemente arrancando en SÓLO SÍMBOLO DE SISTEMA y, ejecutando el LIMPIA.EXE, se desinfectarían los ficheros infectados.

Para descargar el LIMPIA.EXE, pulsar aquí

Para descargar el MRECOVER.EXE, pulsar aquí

Para descargar el SCOPY.EXE, pulsar aquí

SATINFO, VIRUSCAN SPAIN SERVICE 5 DE Diciembre 2002

Anterior