Ontario es una familia de virus informáticos , llamada así por su punto de aislamiento, la provincia canadiense de Ontario . Esta familia de virus informáticos está formada por Ontario.1024, Ontario.512 y Ontario.2048 . La primera variante Ontario.512 se descubrió en julio de 1990. Dado que Ontario.1024 también se descubrió en Ontario, es probable que ambos virus se originen dentro de la provincia. Según la variante Ontario.2048, el autor había adoptado "Ontario" como el nombre de la familia e incluso incluyó el nombre "Ontario-3" en el código del virus.
Nombre común | Ontario.512 |
---|---|
Nombre técnico | Ontario.512 |
Alias | SBC |
Familia | Ontario |
Clasificación | Virus |
Tipo | DOS |
Subtipo | Infector de archivos DOS |
Aislamiento | Julio de 1990 |
Punto de aislamiento | Hamilton (?), Ontario , Canadá |
Punto de origen | Ontario , Canadá |
Autor (es) | Ángel de la muerte |
Ontario.512
Infección
Ontario.512 es un infectador de archivos DOS cifrado . Tras la ejecución de un infectado. COM ,. EXE o. El archivo OVL , Ontario.512 pasa a ser residente en memoria e infecta archivos de estos tiempos al abrirse. COMMAND.COM se infecta mediante una rutina especial. Los archivos infectados aumentarán 512 bytes (archivos COM) o entre 512 y 1.023 bytes (archivos EXE y OVL). Algunos sistemas con sectores de archivos más grandes pueden mostrar aumentos de más de 1.023 bytes para archivos infectados de este tipo.
Síntomas
Ontario.512 principalmente solo infecta archivos, por lo que no hay un síntoma significativo. Los dos síntomas principales son:
- Un aumento en el tamaño de los archivos COM infectados de 512 bytes.
- Un aumento en el tamaño de los archivos EXE y OVL infectados de entre 512 y 1.023 bytes, e incluso mayor en algunos sistemas.
- Los sistemas completamente infectados por Ontario.512 pueden sufrir un aumento de la corrupción de archivos y otros problemas del disco duro con el tiempo.
- Se han observado problemas de impresora no especificados con la familia de Ontario, aunque la mayoría de estas observaciones se han relacionado con Ontario.1024, no con Ontario.512. Se desconoce qué problemas específicos son estos y si afectan a Ontario.
El aumento en el tamaño del archivo COM junto con los aumentos de los archivos EXE y OVL es una muy buena guía para determinar la infección de Ontario.512, aunque los cambios en la longitud del archivo son comunes entre prácticamente todos los infectadores de archivos.
Predominio
The WildList [1] , una organización que rastrea virus informáticos, nunca informó que Ontario.512 estuviera en el campo. Sin embargo, Ontario.1024 se incluyó en la lista durante un período de tiempo. No está claro si Ontario.512 se descubrió en el campo o en un BBS de Toronto , donde se publicó Ontario.2048.
Ontario.1024
Nombre común | Ontario.1024 |
---|---|
Nombre técnico | Ontario.1024 |
Alias | 1024 SBC |
Familia | Ontario |
Clasificación | Virus |
Tipo | DOS |
Subtipo | Infector de archivos DOS |
Aislamiento | Octubre de 1991 |
Punto de aislamiento | Ontario , Canadá |
Punto de origen | Ontario , Canadá |
Autor (es) | Ángel de la muerte |
Ontario.1024 es un virus informático , descubierto en octubre de 1991, más de un año después del aislamiento del primer virus de Ontario, Ontario.512. En relación con Ontario.512, la mayoría de las adiciones implican hacer que el virus sea más difícil de detectar.
Infección
Ontario.1024 es un infectador de archivos DOS sigiloso y cifrado . Tras la ejecución de un infectado. COM o. EXE , Ontario.1024 permanece residente en la memoria e infecta archivos de este tipo al abrirse. COMMAND.COM se infecta mediante una rutina especial. Los archivos infectados aumentarán de tamaño en 1.024 bytes. Sin embargo, cuando Ontario.1024 está en la memoria, no se observará ningún aumento en el tamaño del archivo debido al sigilo del virus. A diferencia de Ontario.512, no infectará archivos .OVL.
Síntomas
Ontario.1024 es la versión menos identificada de la familia Ontario. Se pueden observar los siguientes síntomas:
- Un aumento en el tamaño de los archivos COM y EXE infectados de 1.024 bytes.
- Una disminución en la memoria del sistema disponible de 3,072 bytes.
- El tamaño del archivo se cambia después de que se ejecutan los ejecutables (infectados), para mostrar el tamaño del archivo original.
- Problemas ocasionales relacionados con la impresora.
Los primeros tres síntomas son buenos indicios de la presencia de un virus, pero no son necesariamente específicos de Ontario.
Predominio
The WildList [2] , una organización que rastrea virus informáticos, incluyó a Ontario.1024 en el campo desde julio de 1993 hasta diciembre de 1998, cuando se eliminó debido a la falta de una muestra enviada. Estos informes indicaron que Ontario.1024 se había extendido tanto como Australia e Israel en su apogeo en 1994-1995.
Como todos los infectadores de archivos DOS, la llegada de Windows obstaculizó significativamente la propagación de Ontario. Trend Micro [3] informa de 301 infecciones desde el 6 de noviembre de 2000, y las tasas se redujeron a una o dos veces al mes en 2005.
Ontario.2048
Nombre común | Ontario.2048 |
---|---|
Nombre técnico | Ontario.2048 |
Alias | Bootache.2048, Ontario III |
Familia | Ontario |
Clasificación | Virus |
Tipo | DOS |
Subtipo | Infector de archivos DOS |
Aislamiento | Septiembre de 1992 |
Punto de aislamiento | Ontario , Canadá |
Punto de origen | Ontario , Canadá |
Autor (es) | Ángel de la muerte |
Ontario.2048 es un virus informático , descubierto en septiembre de 1992. Es la tercera y última variante conocida de la familia Ontario, tanto cronológicamente como en complejidad. Debido a sus diferencias bastante extremas con el virus original, algunos proveedores lo identifican como miembro de una familia separada, de ahí el alias Bootache.2048.
Infección
Ontario.2048 es un infectador de archivos DOS sigiloso , polimórfico y cifrado . Tras la ejecución de un infectado. COM ,. EXE ,. OVL o. El archivo SYS , Ontario.2048 pasa a ser residente en memoria e infecta archivos de estos tiempos al abrirse. COMMAND.COM se infecta mediante una rutina especial y no aumentará el tamaño del archivo. Los archivos infectados aumentarán de tamaño en 2048 bytes. Sin embargo, cuando Ontario.2048 está en la memoria, no se observará ningún aumento en el tamaño del archivo debido al sigilo del virus.
Cuando el programa DOS DEBUG está en la memoria, Ontario.2048 lo detectará y desinfectará los programas en la memoria para evitar ser analizados. Ontario.2048 también cuenta con un sistema de encriptación extremadamente complejo ; una muestra determinada de Ontario.2048 solo puede compartir dos bytes en común con otro.
Síntomas
Ontario.2048 puede provocar los siguientes síntomas:
- Un aumento en el tamaño de los archivos infectados en 2048 bytes.
- Una disminución en la memoria del sistema disponible de 5.120 bytes.
- El tamaño del archivo se cambia después de que se ejecutan los ejecutables (infectados), para mostrar el tamaño del archivo original.
- Se han observado problemas ocasionales relacionados con la impresora en la variante Ontario.1024 de esta familia; se desconoce si esto se traslada a Ontario.2048.
Los primeros tres síntomas son buenos indicios de la presencia de un virus, pero no son necesariamente específicos de Ontario.
Ontario.2048 también contiene texto, que es invisible porque Ontario.2048 está encriptado. Están presentes las siguientes cadenas de texto:
- COMSPEC = \ COMMAND.COM COMEXEOVLSYS
- MSDOS5.0
- BATATA
- ¡Tu PC tiene un bootache! - ¡Conseguir algo de medicina!
- Ontario-3 de Death Angel
La primera línea es una referencia al método utilizado para encontrar COMMAND.COM para infectar, así como los tipos de archivos que infecta el virus. La segunda línea se refiere a la versión de MS-DOS en la que se escribió Ontario.2048. El tercero es una referencia al grupo de virus Youngsters Against McAfee, al que el autor se había unido a estas alturas.
Varias descripciones señalan la función multipartita en Ontario.2048. Esto es incorrecto. Ontario.2048 contiene un sector de arranque con un virus de arranque. Si se inserta en el sector de arranque, sería un virus de arranque en funcionamiento (aunque no propagaría la parte de infección de archivos de Ontario.2048). Sin embargo, Ontario.2048 nunca realiza la inyección; el código es funcionalmente inútil. Según la documentación del autor del virus para el virus [4] , esto parece ser intencional (razones desconocidas).
Predominio
The WildList [5] , una organización que rastrea virus informáticos, nunca ha incluido a Ontario.2048 en el campo. Sin embargo, Ontario.1024 se incluyó por un período de tiempo.
Como todos los infectadores de archivos DOS, la llegada de Windows obstaculizó significativamente la propagación de Ontario. Las estadísticas de Trend Micro informan sólo dos infecciones desde el 6 de noviembre de 2006 [6] , lo que indica que el virus ahora está obsoleto.
enlaces externos
- F-Secure
- Symantec (principalmente Ontario.1024)
- McAfee