Categoría: Alerta Virus, Noticias, Virus
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas
Loading...

Virus Zimuse. A

Virus Zimuse. A

Este virus es un gusano, localizado durante esta semana, que sobreescribe el Registro de arranque principal (Master Boot Record) de todas las unidades que existen con información perteneciente.

Es considerado de peligrosidad baja, causa un daño medio y su grado dispersabilidad es alto. No tiene capacidad de autopropagación ni de ejecutarse automáticamente cada vez que el equipo se reinicia.

Se extiende a unidades locales del sistema y si la fecha y la hora del equipo cumplen unas circunstancias específicas, el virus se copia a él mismo, con el nombre de  zipsetup.exe (195072 B), en el directorio raíz de las siguientes unidades: A:\, B:\, C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\

En estos directorios se crea también un archivo autorun.inf, que se efectúa cuando se accede a estas unidades y se genera el fichero zipsetup.exe. 

Cuando el gusano entra en el equipo y efectúa su infección, se establecen los siguientes ficheros:  

  •  %system% \drivers\Mstart.sys (13100 B)
  • %system% \drivers\Mseu.sys (18188 B)
  • %system% \mseus.exe (69632 B)
  • %system% \tokset.dll (195072 B)
  • %system% \ainf.inf (41 B)
  • %programfiles% \Dump\Dump.exe (28672 B)
  • %temp% \Mseu.ini (225 B)
  • %temp% \mseus.ini (328 B)
  • %temp% \Instdrv.exe (44552 B)
  • %temp% \Dump.ini (275 B)
  • %temp% \Regini.exe (68880 B)

Después, Zimuse. A. presenta un cuadro de diálogo en inglés e instala unos drivers de modo que se efectúa de forma automática en la iniciación del sistema. Los drives son los siguientes:

  •  %system% \drivers\Mstart.sys, MSTART
  • %system% \drivers\Mseu.sys, MSEU

Y además, agrega estas entradas en el registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 

Valor: "Dump" = " %programfiles% \Dump\Dump.exe"
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000\Control 

Valor: "*NewlyCreated*" = 0 

Valor: "ActiveService" = "MSTART"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000 

Valor: "Service" = "MSTART" 

Valor: "Legacy" = 1 

Valor: "ConfigFlags" = 0 

Valor: "Class" = "LegacyDriver" 

Valor: "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" 

Valor: "DeviceDesc" = "MSTART"
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART 

Valor: "NextInstance" = 1
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mseu 

Valor: "Type" = 1 

Valor: "Start" = 2 

Valor: "ErrorControl" = 1 

Valor: "Tag" = 1 

Valor: "Group" = "Extended base"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Enum 

Valor: "0" = "Root\LEGACY_MSTART\0000" 

Valor: "Count" = 1 

Valor: "NextInstance" = 1
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Security 

Valor: "Security" = "%cadena_hedecimal%"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART 

Valor: "Type" = 1 

Valor: "Start" = 3 

Valor: "ErrorControl" = 1 

Valor: "ImagePath" = " %system% \drivers\MSTART.SYS" 

Valor: "DisplayName" = "MSTART"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ UnzipService 

Valor: "Type" = 272 

Valor: "Start" = 2 

Valor: "ImagePath" = " %system% \Mseus.exe" 

Valor: "ErrorControl" = 0 

Valor: "DisplayName" = "Self extract service" 

Valor: "ObjectName" = "LocalSystem" 

Valor: "Description" = "Self extract archive decrypt" 

Valor: "ft1" = %FechayHora1%
Valor: "ft2" = %FechayHora2%

Otra consecuencia que puede causar el gusano es la eliminación de los siguientes archivos:

  • C:\BOOT.INI
  • C:\NTDETECT.COM
  • C:\NTLDR
  • C:\HYBERFILE.SYS
  • C:\BOOTMGR
  • C:\BOOTMGR.BAK
  • C:\BOOTSECT
  • C:\BOOTSECT.BAK
  • C:\System Volume Information\*.*
  • D:\System Volume Information\*.*
  • E:\System Volume Information\*.*
  • F:\System Volume Information\*.*
  • G:\System Volume Information\*.*
  • H:\System Volume Information\*.*
  • I:\System Volume Information\*.*
  • J:\System Volume Information\*.*
  • C:\Documents and Settings\Administrator\My Documents\*.*
  • D:\Documents and Settings\Administrator\My Documents\*.*
  • E:\Documents and Settings\Administrator\My Documents\*.*
  • F:\Documents and Settings\Administrator\My Documents\*.*
  • G:\Documents and Settings\Administrator\My Documents\*.*
  • H:\Documents and Settings\Administrator\My Documents\*.*
  • I:\Documents and Settings\Administrator\My Documents\*.*
  • J:\Documents and Settings\Administrator\My Documents\*.*
  • C:\Users\Administrator\*.*
  • D:\Users\Administrator\*.*
  • E:\Users\Administrator\*.*
  • F:\Users\Administrator\*.*
  • G:\Users\Administrator\*.*
  • H:\Users\Administrator\*.*
  • I:\Users\Administrator\*.*
  • J:\Users\Administrator\*.*
  • C:\Documents and Settings\*.*
  • D:\Documents and Settings\*.*
  • E:\Documents and Settings\*.*
  • F:\Documents and Settings\*.*
  • G:\Documents and Settings\*.*
  • H:\Documents and Settings\*.*
  • I:\Documents and Settings\*.*
  • J:\Documents and Settings\*.*
  • C:\Users\*.*
  • D:\Users\*.*
  • E:\Users\*.*
  • F:\Users\*.*
  • G:\Users\*.*
  • H:\Users\*.*
  • I:\Users\*.*
  • J:\Users\*.*
  • c:\system32\drivers\*.*
  • c:\system32\CONFIG\*.*
  • c:\system32\*.*

Si se ha sufrido un ataque por parte de este gusano, lo conveniente es volver a un punto de restauración anterior a la infección, para que el equipo vuelva al estado en el que no estaba infectado y desaparezca el virus

Si no se puede volver a un punto anterior de restauración, se debe apagar la Restauración del Sistema e intentar borrar el gusano reiniciando el ordenador en Modo Seguro y buscar las copias del virus que se encuentran en el equipo con un antivirus que esté actualizado. A continuación se deben borrar los siguientes archivos:

  • %system% \drivers\Mstart.sys
  • %system% \drivers\Mseu.sys
  • %system% \mseus.exe
  • %system% \tokset.dll
  • %system% \ainf.inf
  • %programfiles% \Dump\Dump.exe
  • %temp% \Mseu.ini
  •  %temp% \mseus.ini
  • %temp% \Instdrv.exe
  • %temp% \Dump.ini
  • %temp% \Regini.exe

Si continúa sin poder eliminar el virus, es posible que sea porque está en funcionamiento y está usando los ficheros que se quieren eliminar, con lo que hay buscarlo y detenerlo para poder borrarlo.

Una vez que se ha conseguido borrar, se debe editar el registro para eliminar las modificaciones que el gusano ha efectuado. Hay que tener precaución a la hora de trabajar en el registro y realizar cambios, ya que, si se cambia algo de forma incorrecta, el equipo se puede ver perjudicado. Se deben borrar las siguientes entradas del registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 

Valor: "Dump" = " %programfiles% \Dump\Dump.exe"
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000\Control 

Valor: "*NewlyCreated*" = 0 

Valor: "ActiveService" = "MSTART"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000
Valor: "Service" = "MSTART" 

Valor: "Legacy" = 1 

Valor: "ConfigFlags" = 0 

Valor: "Class" = "LegacyDriver" 

Valor: "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" 

Valor: "DeviceDesc" = "MSTART"
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART 

Valor: "NextInstance" = 1
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mseu 

Valor: "Type" = 1 

Valor: "Start" = 2
Valor: "ErrorControl" = 1 

Valor: "Tag" = 1 

Valor: "Group" = "Extended base"
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Enum 

Valor: "0" = "Root\LEGACY_MSTART\0000" 

Valor: "Count" = 1 

Valor: "NextInstance" = 1
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Security 

Valor: "Security" = "%cadena_hedecimal%"
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART 

Valor: "Type" = 1 

Valor: "Start" = 3 

Valor: "ErrorControl" = 1 

Valor: "ImagePath" = " %system% \drivers\MSTART.SYS" 

Valor: "DisplayName" = "MSTART"
 
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ UnzipService 

Valor: "Type" = 272 

Valor: "Start" = 2 

Valor: "ImagePath" = " %system% \Mseus.exe" Valor: "ErrorControl" = 0 

Valor: "DisplayName" = "Self extract service" 

Valor: "ObjectName" = "LocalSystem" 

Valor: "Description" = "Self extract archive decrypt" 

Valor: "ft1" = %FechayHora1% 

Valor: "ft2" = %FechayHora2%

Después de eliminar estos ficheros se deben borrar todos los archivos temporales del equipo, incluidos los de Internet y los que contenga la papelera de reciclaje.

Para asegurarse de que el virus ha sido eliminado es conveniente reiniciar el equipo y revisar todo el disco duro con un antivirus. También hay que reactivar la restauración del sistema si la desactivó anteriormente.

, , , , , , , , , , , ,

Leave a Reply