• Herramienta gratuita de Bit-Defender para limpiar el Datom

Se trata de un gusano de redes, programado en Borland C++, que se propaga a través de los recursos compartidos. Consiste en tres archivos diferentes:

MSVXD.EXE  (81,408 bytes)
MSVXD16.DLL  (58,368 bytes)
MSVXD32.DLL  (54,784 bytes)

El primer componente, MSVXD.EXE activa el gusano que carga la librería MSVXD16.DLL.

MSVXD16.DLL genera el siguiente cambio en el registro de Windows, para que se ejecute en cada reinicio de Windows el archivo MSVXD.EXE:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSVXD = "C:\Windows\msvxd.exe 1632"

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME y C:\WINNT en Windows NT/2000/XP).

El parámetro "1632", hace que MSVXD.EXE intente copiar el virus en una de las siguientes subcarpetas de Windows:

Profiles\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\StartUp.
Documents and Settings\All sers\MenuDémarrer\Programmes\Démarrage
Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica

A su vez, MSVXD16.DLL instala un proceso que monitorea cualquier intento del usuario para ejecutar REGEDIT o MSCONFIG. Si alguna de las dos aplicaciones es abierta por el usuario, la entrada creada por el virus en el registro quedará "oculta".

Finalmente,  MSVXD16.DLL carga el componente MSVXD32.DLL, el cuál a su vez crea cuatro hilos de ejecución, que realizan las siguientes acciones:

La primera monitoriza la ejecución de REGEDIT y MSCONFIG (igual a como lo hace MSVXD16.DLL). También crea copias del virus como archivos temporales (llamados TMP_V_00.TMP, etc).

El segundo hilo busca la presencia del cortafuegos ZoneAlarm e intenta quitarlo de la lista de tareas que se están ejecutando. Luego, envía mensajes de notificación a una o dos direcciones supuestamente del autor del gusano, usando un SMTP público. Los e-mails contienen información de las computadoras infectadas. Además trata de conectarse a la página www.microsoft.com.

El tercer hilo intenta crear copias de todos los componentes del virus en las carpetas y subcarpetas compartidas en la red local.

Y finalmente el cuarto hilo intenta modificar el registro de Windows, para cambiar la aplicación que abre por defecto los archivos .HTML (HKCR\.html\Shell\Open\Command).

Para propagarse, el gusano busca recursos compartidos de una red, e intenta conectarse a la computadora que sirva de host, utilizando el puerto TCP 139 (Netbios).

Si la conexión es llevada a cabo, el gusano busca directorios de Windows que estén compartidos (C:\WinNT), examinando los nombres de estos. También busca la cadena "WinNT" en la línea "WinDir" del archivo MSDOS.SYS, si el archivo existe y está disponible para lectura.

Luego de ello, el virus copia todos sus componentes a los directorios de Windows remotos encontrados, y configura el archivo MSVXD.EXE para que se ejecute al reiniciarse Windows. Para ello, modifica el archivo WIN.INI, escribiendo el nombre del archivo en la sección "Run":

run=MSVXD.EXE

En ocasiones puede agregar caracteres extras al final de su nombre, provocando mensajes de error al reiniciarse Windows.

También puede crear un enlace apuntando a MSVXD.EXE, y llamado "VxD Manager.lnk" en el directorio de inicio común ("All users") de la computadora remota. Esto solo funciona en los Windows en inglés, francés e italiano:

Start Menu\Programs\Startup
Menu Démarrer\Programmes\Démarrage
Menu Avvio\Programmi\Esecuzione automatica

En su código, el gusano contiene el siguiente texto:

Windows VxD integrity check
3.50.3907.0
3.50.3907.0
MSVXD
Copyright (C) Microsoft Corp. 1995
MSVXD.EXE

Herramienta gratuita de Bit-Defender para limpiar el Datom

Baje y ejecute el siguiente archivo:
http://www.bitdefender.com/descarga/AntiDatom-ES.exe (55 Kb)

Gentileza de Bit-Defender: http://www.bitdefender-es.com/index.php


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

MSVXD

Nota: en Windows 9x y Me, aunque no se propague por la red local, (no existe un directorio C:\WinNT), si puede estar en memoria, e incluso ejecutar las demás tareas.

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Examine el archivo WIN.INI y borre la entrada "run=MSVXD.EXE"

5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

MSVXD

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

10. Examine todos sus recursos con un antivirus actualizado.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
10/jul/02 - Texto en código, tamaño de archivos
11/jul/02 - Herramienta AntiDatom-ES.exe
12/jul/02 - Ampliación de la descripción del virus
12/jul/02 - Alias: W32/Datom, Datom, Worm_Win32_Datom, Worm.Win32.Datom
12/jul/02 - Alias: Win32.Worm.Datom.A




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com