Ontario es una familia de virus informáticos , llamada así por su punto de aislamiento, la provincia canadiense de Ontario . Esta familia de virus informáticos está formada por Ontario.1024, Ontario.512 y Ontario.2048 . La primera variante Ontario.512 se descubrió en julio de 1990. Como Ontario.1024 también se descubrió en Ontario, es probable que ambos virus se originen en la provincia. En la variante Ontario.2048, el autor había adoptado "Ontario" como nombre de la familia e incluso incluyó el nombre "Ontario-3" en el código del virus.
Ontario.512 es un programa que infecta archivos DOS mediante cifrado . Al ejecutar un archivo . COM , . EXE u . OVL infectado , Ontario.512 se convierte en residente en la memoria e infecta archivos de estos formatos al abrirse. COMMAND.COM se infecta mediante una rutina especial. Los archivos infectados aumentarán su tamaño en 512 bytes (archivos COM) o entre 512 y 1023 bytes (archivos EXE y OVL). Algunos sistemas con sectores de archivos más grandes pueden mostrar aumentos de más de 1023 bytes para archivos infectados de este tipo.
Ontario.512 infecta principalmente archivos, por lo que no presenta ningún síntoma significativo. Los dos síntomas principales son:
El aumento del tamaño de los archivos COM junto con el aumento de los archivos EXE y OVL es una muy buena guía para determinar la infección de Ontario.512, aunque los cambios en la longitud de los archivos son comunes entre prácticamente todos los infectores de archivos.
La WildList [1], una organización que rastrea virus informáticos, nunca informó que Ontario.512 estuviera en el campo. Sin embargo, Ontario.1024 estuvo incluido en la lista durante un tiempo. No está claro si Ontario.512 fue descubierto en el campo o en un BBS de Toronto , donde se publicó Ontario.2048.
Ontario.1024 es un virus informático descubierto en octubre de 1991, más de un año después del aislamiento del primer virus de Ontario, Ontario.512. En comparación con Ontario.512, la mayoría de las adiciones implican hacer que el virus sea más difícil de detectar.
Ontario.1024 es un virus de DOS encriptador y oculto . Al ejecutar un archivo . COM o . EXE infectado , Ontario.1024 se convierte en residente en la memoria e infecta archivos de este tipo al abrirlos. COMMAND.COM se infecta mediante una rutina especial. Los archivos infectados aumentarán de tamaño en 1024 bytes. Sin embargo, cuando Ontario.1024 está en la memoria, no se observará ningún aumento en el tamaño del archivo debido al sigilo del virus. A diferencia de Ontario.512, no infectará archivos . OVL.
Ontario.1024 es la versión menos fácil de identificar de la familia Ontario. Se pueden observar los siguientes síntomas:
Los primeros tres síntomas son buenos indicios de la presencia de un virus, pero no son necesariamente específicos de Ontario.1024.
La WildList [2], una organización que rastrea virus informáticos, incluyó a Ontario.1024 en la lista de virus que se habían propagado desde julio de 1993 hasta diciembre de 1998, cuando fue eliminado por falta de una muestra presentada. Estos informes indicaron que Ontario.1024 se había propagado hasta Australia e Israel en su pico máximo en 1994-1995.
Al igual que todos los virus de tipo DOS que infectan archivos, la llegada de Windows dificultó significativamente la propagación de Ontario.1024. Trend Micro [3] informa de 301 infecciones desde el 6 de noviembre de 2000, y las tasas se redujeron a aproximadamente una vez cada mes o dos en 2005.
Ontario.2048 es un virus informático descubierto en septiembre de 1992. Es la tercera y última variante conocida de la familia Ontario, tanto cronológicamente como en complejidad. Debido a sus diferencias bastante extremas con el virus original, algunos proveedores lo identifican como miembro de una familia separada, de ahí el alias Bootache.2048.
Ontario.2048 es un infector de archivos DOS polimórfico , encriptador y oculto . Al ejecutar un archivo . COM , . EXE , . OVL o . SYS infectado, Ontario.2048 se convierte en residente en memoria e infecta archivos de esa fecha al abrirse. COMMAND.COM se infecta mediante una rutina especial y no aumentará el tamaño del archivo. Los archivos infectados aumentarán de tamaño en 2048 bytes. Sin embargo, cuando Ontario.2048 está en la memoria, no se observará ningún aumento en el tamaño del archivo debido al sigilo del virus.
Cuando el programa DOS DEBUG está en la memoria, Ontario.2048 lo detectará y desinfectará los programas en la memoria para evitar que se analicen. Ontario.2048 también cuenta con un sistema de cifrado extremadamente complejo ; una muestra determinada de Ontario.2048 puede compartir solo dos bytes en común con otra.
Ontario.2048 puede provocar los siguientes síntomas:
Los primeros tres síntomas son buenos indicios de la presencia de un virus, pero no son necesariamente específicos de Ontario.1024.
Ontario.2048 también contiene texto, que es invisible porque Ontario.2048 está cifrado. Están presentes las siguientes cadenas de texto:
La primera línea es una referencia al método utilizado para encontrar COMMAND.COM para infectar, así como a los tipos de archivos que el virus infecta. La segunda línea hace referencia a la versión de MS-DOS en la que se escribió Ontario.2048. La tercera es una referencia al grupo de virus Youngsters Against McAfee, al que el autor se había unido en ese momento.
Varias descripciones indican la función multipartita en Ontario.2048. Esto es incorrecto. Ontario.2048 contiene un sector de arranque dentro de él con un virus de arranque. Si se inserta en el sector de arranque, sería un virus de arranque funcional (aunque no propagaría la parte de infección de archivos de Ontario.2048). Sin embargo, Ontario.2048 nunca realiza la inyección; el código es funcionalmente inútil. Según la documentación del autor del virus para el virus [4], esto parece ser intencional (razones desconocidas).
La WildList [5], una organización que rastrea virus informáticos, nunca incluyó a Ontario.2048 en su campo. Sin embargo, Ontario.1024 estuvo incluido durante un tiempo.
Al igual que todos los virus DOS que infectan archivos, la llegada de Windows dificultó significativamente la propagación de Ontario.2048. Las estadísticas de Trend Micro informan de sólo dos infecciones desde el 6 de noviembre de 2006 [6], lo que indica que el virus ya está obsoleto.