WININIT.EXE - (el cuerpo del gusano, de unos 22 Kb)
DNETC.EXE - (cliente RC5 de "Distributed Net" de 18 Kb) (*)
DNETC.INI - (archivo de configuración para el cliente RC5)

(*) El cliente RC5 es parte de un proyecto creado por la empresa "Distributed.Net", para descifrar el algoritmo criptográfico RC5/DES. Se trata de un proyecto con características similares al del SETI -SETI@home, usado en ese caso para descubrir vida en las galaxias- que se supone permite que todas las máquinas del mundo que lo tengan, puedan descubrir datos más rápidamente, al ser una mayor cantidad de PCs corriendo al mismo tiempo (ver nota 1).

Adicionalmente, la siguiente línea es agregada al archivo \Windows\WIN.INI de la computadora remota:

[windows]
load=C:\WINDOWS\SYSTEM\WININIT.EXE

Esto permite la autoejecución del gusano en cada inicio de sesión en Windows. Después del reinicio en una PC infectada, el gusano (WININIT.EXE) ejecuta el cliente RC5 (DNETC.EXE) en su modo oculto (DNETC.EXE -hide -install) y continúa con la infección a otras computadoras.

Nota: Existe un archivo de Windows en C:\WINDOWS llamado también WININIT.EXE, que no tiene nada que ver con este gusano.

La variante W32/MSInit.b (Bymer.B), también es un ejecutable en formato PE, e infecta de la misma manera que el anterior, a través de los recursos compartidos como "C". Si localiza estos recursos, copia los siguientes archivos en las carpetas \Windows\Start Menu\Programs\StartUp\ (no funcionará en las versiones en español) y en \Windows\System\: 

MSxxxx.EXE - (gusano propiamente dicho, de unos 22Kb aproximadamente)
MSCLIENT.EXE - (otro componente del gusano, de unos 4 Kb)
INFO.DLL - (log en formato texto con las computadoras infectadas)
DNETC.EXE - (cliente RC5 de Distributed Net de 18 Kb)
DNETC.INI - (archivo de configuración para el cliente RC5)

Además, la siguiente línea es agregada al archivo \WINDOWS\WIN.INI de la computadora remota:

[windows]
load=C:\WINDOWS\SYSTEM\MSxxxx.EXE

Esto posibilita la autoejecución del gusano en el próximo reinicio de Windows. Cuando alguno de los dos componentes del gusano es ejecutado, se agrega lo siguiente al registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MSINIT=c:\windows\system\msxxx.exe

Las "xxxx" del nombre MSxxxx.EXE representan diferentes nombres, comenzando con MS o MSI, y los tres primeros números de la dirección IP de la víctima, por ejemplo:

MS216.EXE
MSI216.EXE
MSI211.EXE

Cuando el gusano ejecuta el cliente RC5 en su modo oculto, también modifica el registro para que este se ejecute en cada inicio de Windows.

Como eliminarlo

Borre los archivos creados por el gusano o el trojan. Siga estos pasos para hacerlo.

NOTA: No todos estos archivos podrán estar en su PC, debido a las variantes que tiene cada versión.

1) Pinche en Inicio, Buscar, Archivos o carpetas.

2) Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3) En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:

wininit.exe

4) Pinche en "Buscar ahora". Windows buscará todas las copias de este archivo en la unidad C:

5) Si aparece, seleccione la copia ubicada en la carpeta WINDOWS\SYSTEM\ (C:\Windows\System\Wininit.exe).

CUIDADO: Usted debe borrar la copia ubicada en la carpeta \WINDOWS\SYSTEM, NO BORRE la ubicada en la carpeta \WINDOWS (C:\Windows\Wininit.exe).

6) Pulse la tecla SUPR o DEL, y pinche en SI para confirmar.

7) Pinche en "Nueva búsqueda" y teclee OK para confirmar.

8) En la casilla "Nombre:", teclee (o "corte y pegue"), los siguientes nombres, separados por espacios (incluidos los caracteres "???" y "????":

ms???.exe ms????.exe dnetc.exe dnetc.ini msclient.exe info.dll

9) Pinche en "Buscar ahora". Windows buscará todas las copias de estos archivos en la unidad C:

CUIDADO: Usted va a borrar algunos archivos. Asegúrese de leer atentamente la siguiente información antes de ello:

La búsqueda por "ms???.exe" o "ms????.exe" dará como resultado varios archivos. Los archivos que usted busca comienzan con las letras "MS" o "MSI", seguidas de 3 números, por ejemplo: MS216.exe o MSI216.exe. Estos son los únicos archivos que comienzan con "MS" que usted deberá borrar.

DNETC.EXE es un programa legalmente distribuido, pero que ha sido usado por el gusano o el trojan para propagarse. Si usted detecta evidencias de infección, es muy recomendable que lo elimine.

10) Seleccione los archivos que cumplen las condiciones anteriores. Es recomendable lo haga de a uno a la vez.

11) Pulse SUPR o DEL, y pinche en SI para confirmar.

12) Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

Remover las entradas al archivo WIN.INI

En algunos casos, el gusano crea una entrada en el archivo WIN.INI. Siga estos pasos para borrarla.

1) Pinche en Inicio, Ejecutar.

2) Teclee "NOTEPAD C:\WINDOWS\WIN.INI" SIN las comillas (o use "cortar y pegar")

3) En la sección [Windows], busque una entrada similar a la siguiente:

load=c:\windows\system\msi216.exe

Este nombre puede variar, recuerde lo que mencionamos antes al respecto. La característica es que comienza con "MS" o "MSI", seguido de tres números.

5) Borre la línea entera, o deje solamente lo siguiente:

load=

6) Grabe los cambios (Archivo, Grabar).

Remover las entradas al registro

Siga estos pasos para remover estas entradas (ATENCION, proceda con cuidado cada vez que haga modificaciones en el registro de Windows):

1) Salga de todos los programas.

2) Vaya a Inicio, Ejecutar.

3) Teclee REGEDIT y pulse Enter.

4) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada: 

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5) Pulse sobre la carpeta "Run".

Si en la ventana de la derecha aparece este valor:

bymer.scanner

6) Borre la clave completa (marque el nombre "bymer.scanner" y pulse DELETE o SUPR).

7) Conteste que SI a la pregunta de confirmación.

8) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

9) Pulse sobre la carpeta "RunServices".

Si en la ventana de la derecha aparece algunos de estos valores (puede variar el camino si instaló Windows en una carpeta diferente):

distributed.net.client = "C:\Windows\System\dnetc.exe"
internat = "C:\Windows\internat.exe" -hide"
msinit = "C:\Windows\System\ms***.exe"

10) Borre cada una de estas claves completas (marque el nombre "distributed.net.client" y pulse DELETE o SUPR, luego repítalo con "internat" y "msinit".

11) Salga del editor del registro (Registro, Salir).

12) Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.

13) Revise su PC con un antivirus al día.

Recomendaciones

Para evitar ser accedido a través de los puertos NetBIOS a los recursos compartidos de su computadora, le recomendamos instalar un programa como el Zone Alarm.

(Nota 1)

DES: Estándar de Encriptación de Datos (Data Encryption Standard), es un algoritmo de cifrado en bloques de longitud de 64 bits (8 caracteres ASCII), que a su vez, emplean una clave de 56 bits. Fue adoptado en 1977 por el gobierno norteamericano, aunque ya se ha demostrado su debilidad ante ataques realizados por "fuerza bruta".

RC5: algoritmo de cifrado en bloque creado en 1994. El usuario puede definir el tamaño del bloque de datos, la longitud de la llave y el número de pasadas de cifrado, aumentando el nivel de seguridad.