Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Dumaru.A. Mensaje falso de Microsoft (patch.exe)
 
VSantivirus No. 1138 Año 7, Martes 19 de agosto de 2003

W32/Dumaru.A. Mensaje falso de Microsoft (patch.exe)
http://www.vsantivirus.com/dumaru-a.htm

Nombre: W32/Dumaru.A
Tipo: Gusano de Internet
Alias: W32.Dumaru@mm, Win32/Dumaru.A, W32/Dumaru@MM, W32.Dumaru@mm, WORM_DUMARU.A
Fecha: 19/ago/03
Plataforma: Windows 32-bit
Tamaño: 9,216 bytes

Este gusano, escrito en Microsoft C++ y comprimido con la herramienta UPX, se envía en forma masiva a todas las direcciones que encuentra en determinados archivos de la máquina infectada, en un mensaje que simula contener un parche del Internet Explorer enviado por Microsoft:

De: "Microsoft" <security@microsoft.com>
Asunto: Use this patch immediately !
Datos adjuntos: patch.exe

Texto:

Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

Cuando se ejecuta, libera un troyano que permite ser controlado vía IRC, y además es capaz de robar contraseñas de la máquina infectada, para luego reenviarlas a un usuario remoto.

Las direcciones de correo a las que envía el mensaje, son extraídas de todos los archivos del disco duro con las siguientes extensiones:

.abd
.dbx
.htm
.html
.tbb
.wab

Las direcciones son guardadas en el siguiente archivo:

c:\windows\winload.log

El gusano se copia a si mismo en las siguientes ubicaciones:

c:\windows\dllreg.exe
c:\windows\system\load32.exe
c:\windows\system\vxdmgr32.exe

También copia al troyano en la siguiente ubicación:

c:\windows\windrv.exe

NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

El troyano puede conectarse a un servidor predefinido de IRC (Internet Relay Chat), y recibir ordenes de un usuario remoto. También puede robar contraseñas del usuario infectado.

El gusano modifica las siguientes claves del registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load32 = C:\windows\system\load32.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe c:\winnt\system32\vxdmgr32.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = c:\windows\dllreg.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load32 = (una entrada muy larga, de 260 bytes)

También modifica los archivos WIN.INI y SYSTEM.INI en la carpeta C:\Windows:

En WIN.INI:

[windows]
run = c:\windows\dllreg.exe

En SYSTEM.INI:

[boot]
shell = explorer.exe c:\windows\system\vxdmgr32.exe


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\dllreg.exe
c:\windows\system\load32.exe
c:\windows\system\vxdmgr32.exe
c:\windows\windrv.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

load32

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

5. Pinche en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Shell

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows

7. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Run

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Editar el archivo WIN.INI y SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[windows]
run = c:\windows\dllreg.exe

Debe quedar como:

[windows]
run = 

3. Grabe los cambios y salga del bloc de notas.

4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

5. Busque lo siguiente:

[boot]
shell = explorer.exe c:\windows\system\vxdmgr32.exe

y déjelo así:

[boot]
shell = explorer.exe

6. Grabe los cambios y salga del bloc de notas

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Herramientas para quitar automáticamente el gusano

Herramienta de Symantec
Descargue la utilidad "FxDumaru.exe" (167 Kb) y ejecútela en su sistema:
http://www.symantec.com/avcenter/FxDumaru.exe
Copyright (C) Symantec 2003.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS