C:\Windows\System\Dimitris World.exe

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

También crea las siguientes entradas en el registro, que le permitirán se ejecute automáticamente en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ctwpf = C:\Windows\System\Dimitris World.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Dhtovn = C:\Windows\System\Dimitris World.exe

El troyano también utiliza claves del registro creadas por el software del ICQ. Si este programa no está instalado, el gusano igual crea las siguientes entradas:

HKEY_CURRENT_USER\Software\Mirabilis
HKEY_CURRENT_USER\Software\Mirabilis\ICQ
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent

HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Cebfz
Enable = Yes
Parameters = ""
Path = C:\Windows\System\DIMITRIS WORLD.EXE
Startup = C:\Windows\System

El resultado de estos cambios, es que cada vez que se ejecuta el ICQ, se ejecuta el gusano.

Si el sistema operativo es Windows 95, 98 o Me, el troyano intentará obtener al caché que guarda las contraseñas y nombres de usuario de la red, de Windows, de Acceso telefónico y de Internet. Esta información podrá ser enviada al atacante.

Una vez instalado, el troyano queda a la espera de las ordenes remotas desde el cliente. Un atacante que establezca la conexión con el troyano, podrá realizar entre otras, las siguientes acciones:

• Entregar la información obtenida antes, al atacante (nombres de usuario, contraseñas, etc.).
• Cambiar parámetros del sistema como resolución de la pantalla, cantidad de colores en la configuración de pantalla, etc.
• Buscar y terminar procesos en segundo plano que se estén ejecutando en ese momento. Eso incluye antivirus, cortafuegos, etc.
• Buscar y listar los archivos en la computadora infectada.

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre el siguiente archivo:

C:\Windows\System\Dimitris World.exe

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Ctwpf = C:\Windows\System\Dimitris World.exe

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Dhtovn = C:\Windows\System\Dimitris World.exe

6. Si NO utiliza ICQ, borre la carpeta llamada "ICQ" de la siguiente rama del registro (si usa ICQ no haga nada aquí, y vaya al punto 7 directamente):

HKEY_CURRENT_USER\Software\Mirabilis\ICQ

7. Si usa ICQ, en el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Mirabilis
\ICQ
\Agent
\Apps
\Cebfz

8. Pinche en la carpeta "Cebfz" y bórrela.

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com