Funcionamiento del virus:
En la carpeta Windows\System crea el fichero dllcache.exe, oculto y de solo lectura, este ejecutable contiene el virus, al iniciar el Pc se carga residente en memoria a través de la clave del registro:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Netmon
Tambien se inicia desde la clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Windows\System\dllcache.exe
En las siguientes claves del registro aparece tambien referenciado el virus para iniciarlo cuando se arranca en modo seguro.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dllcache
En algunos Pcs infectados aparece tambien el fichero \Windows\system32\drivers\SYSDRV32.SYS
Este no es más que una copia del dllcache.exe.Además el virus genera ficheros con extensión .SCR en la carpeta Windows\System32, estos ficheros son ejecutables y se emplean para ser enviados a traves de las unidades de red administrativas que encuentre el PC, debido a una vulnerabilidad de Windows puede incluso añadir las claves al registro y ejecutarse de forma remota.
Vulnerabilidad ms08.067Este virus infecta los pendrive, copia los ficheros autorun.inf y strongkey-rc1.3-build-208.exe, el ultimo no es más que una copua del dllcache.exe que se ejecuta desde el autorun a través del siguiente script en los Pcs que tengan activo la autoejecución para las unidades:
[autorun]
shellexecute=strongkey-rc1.3-build-208.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey-rc1.3-build-208.exe
shell=default
Proceso de eliminación del Virus:
Para la eliminación de la criaturita debemos utilizar un LiveCD que contenga un editor de registro, aunque en teoria si conseguimos eliminar el fichero dllcache.exe en un momento en el que el virus no se encuentre residente será suficiente, en este caso aparecerá un mensaje de error al arrancar el ordenador dado que la clave run del registro de Windows tratará de cargar el fichero dllcache.exe.Eliminado los ficheros indicados y las diferentes claves de registro que llaman al virus lo habremos eliminado, pero será necesario asegurarnos de que tenemos instalada la actualización que lanzo Microsoft para evitar que otro Pc que aun se encuentre contaminado transmita la infección a través de la red al que acabamos de limpiar.Espero que esta información sea de utilidad, dispongo de una copia de todos los archivos que utiliza el virus y del registro infectado por si alguien quiere examinarlo con más detalle.'Fuente: Blog "Cosas de los informáticos" 14/05/09
Entradas relacionadas:
- [08/05/2009] Un nuevo virus informático se ha dejado hoy sentir en la informática sanitaria madrileña (entrada nuestra)
- [10/05/2009] Virus informático en la Sanidad Madrileña (Blog RafaLinux)
- [12/05/2009] Un virus se cuela en los ordenadores de Sanidad (El País)
- [13/05/2009] Parece que el virus que esta atacando a la informática sanitaria madrileña es una variante de BUZUS (entrada nuestra)
- [14/05/2009] Nueva variante de troyano buzus que ha infectado la sanidad española (zonavirus.com)
Entradas
No hay comentarios:
Publicar un comentario