| |
VSantivirus No. 733 - Año 6 - Miércoles 10 de julio de 2002
W32/Dalbug. Afecta sistemas bajo Windows NT, 2000 y XP
http://www.vsantivirus.com/dalbug.htm
Nombre: W32/Dalbug
Tipo: Gusano de Internet
Alias: W32.Dalbug.Worm, WNT.YdalBug.Worm
Fecha: 8/jul/02
Plataformas: Windows NT, 2000 y XP (No se propaga en Windows 9x)
Sistemas afectados: Microsoft IIS
Tamaños: 28,672 bytes, 274,432 bytes
Fuente: Symantec
Se propaga atacando las computadoras cuyas cuentas de usuario son abiertas (sin contraseñas para ingresar a Windows), y poseen recursos del sistema compartidos. Se instala a si mismo en forma remota como un servicio en la computadora infectada.
Solo afecta computadoras bajo Windows NT, 2000 y XP. Windows 95, 98 y Me no son afectados.
Cuando accede a una computadora vulnerable, el gusano intenta abrir el Service Control Manager, para instalarse a si mismo como un servicio en dicha computadora.
Los atributos del servicio son los siguientes:
Nombre del servicio: NtLmHosts
Nombre desplegado: TCP/IP NetBIOS Provider
Descripción: Provides NetBIOS over TCP/IP (NetBT) service support for NetBIOS name resolution.
Path: %windir%\System32\lmhsvc.exe
Donde %windir% suele ser C:\WinNT (NT/2000) o C:\Windows (XP)
El gusano se copia luego en la carpeta %windir%\System32 como
'lmhsvc.exe', ejecutándose luego en cada reinicio de esa computadora.
Una vez activo, el gusano inserta y ejecuta los siguientes archivos:
%windir%\Smss.exe
%windir%\Csrss.exe
%windir%\System32\Lady.exe
LADY.EXE es un programa no maligno del tipo broma (joke), que es ejecutado por
'Smss.exe' y 'Csrss.exe'.
SMSS.EXE y CSRSS.EXE son el mismo archivo con dos nombres diferentes. Cuando se ejecutan, estos archivos mantienen el servicio ejecutándose. Si usted intenta modificar o deshabilitar el servicio en ejecución, el mismo será inmediatamente reinstalado. Después de 5 minutos de estar activo el gusano, los archivos
SMSS.EXE y CSRSS.EXE ejecutan LADY.EXE. Este es un programa que solo muestra unas moscas volando por la pantalla.
Durante su ejecución, el gusano agrega cada 10 segundos los siguientes valores al registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Smss.exe = %windir%\smss.exe
Csrss.exe = %windir%\csrss.exe
También intenta matar el editor del registro si este se encuentra activo.
Si SMSS.EXE y CSRSS.EXE detectan que el editor se está ejecutando, en lugar de crear los valores anteriores en el registro, los borrarán. El proceso se revertirá una vez el editor no se esté ejecutando.
Ambos archivos crean también copias del gusano en las siguientes ubicaciones:
%windir%\inf\Cdrom.sys
%windir%\Fonts\Dosoem.fon
%windir%\Help\Dosapp.hlp
Reparación manual
Para eliminar manualmente este gusano de un sistema infectado, detenga el proceso del virus en memoria, pulsando
CTRL+SHIFT+ESC, y en la lista de tareas, señale y detenga el servicio indicado en la descripción, seleccionando el botón de finalizar tarea en la lengüeta Procesos.
Luego borre las entradas 'Smss.exe' y 'Csrss.exe' de la clave
HKEY_LOCAL_MACHINE, \SOFTWARE, \Microsoft, \Windows, \CurrentVersion, \Run
Finalmente actualice y ejecute uno o más antivirus en su sistema, y busque y borre los archivos
'Smss.exe' y 'Csrss.exe' y todo archivo indicado como infectado por el gusano.
Limpieza de virus en Windows XP
Para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
