El Virus que ataca la sanidad madrileña

'Los servicios de informática de la sanidad madrileña se han visto atacados por una variante del troyano Buzus, el nuevo virus ataca todos los sistemas, se propaga a través de las unidades de red y de los pendrive, intenta establecer enlaces a través del puerto 445, provocando que las unidades e impresoras compartidas en los Pcs con Windows XP queden fuera de servicio dado que se supera el limite máximo de conexiones que es posible establecer con este sistema operativo.

Funcionamiento del virus:

En la carpeta Windows\System crea el fichero dllcache.exe, oculto y de solo lectura, este ejecutable contiene el virus, al iniciar el Pc se carga residente en memoria a través de la clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Netmon

Tambien se inicia desde la clave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Windows\System\dllcache.exe

En las siguientes claves del registro aparece tambien referenciado el virus para iniciarlo cuando se arranca en modo seguro.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dllcache

En algunos Pcs infectados aparece tambien el fichero \Windows\system32\drivers\SYSDRV32.SYS

Este no es más que una copia del dllcache.exe.

Además el virus genera ficheros con extensión .SCR en la carpeta Windows\System32, estos ficheros son ejecutables y se emplean para ser enviados a traves de las unidades de red administrativas que encuentre el PC, debido a una vulnerabilidad de Windows puede incluso añadir las claves al registro y ejecutarse de forma remota.

Vulnerabilidad ms08.067

Este virus infecta los pendrive, copia los ficheros autorun.inf y strongkey-rc1.3-build-208.exe, el ultimo no es más que una copua del dllcache.exe que se ejecuta desde el autorun a través del siguiente script en los Pcs que tengan activo la autoejecución para las unidades:

[autorun]

shellexecute=strongkey-rc1.3-build-208.exe

action=Open folder to view files

shell\default=Open

shell\default\command=strongkey-rc1.3-build-208.exe

shell=default

Proceso de eliminación del Virus:

Para la eliminación de la criaturita debemos utilizar un LiveCD que contenga un editor de registro, aunque en teoria si conseguimos eliminar el fichero dllcache.exe en un momento en el que el virus no se encuentre residente será suficiente, en este caso aparecerá un mensaje de error al arrancar el ordenador dado que la clave run del registro de Windows tratará de cargar el fichero dllcache.exe.Eliminado los ficheros indicados y las diferentes claves de registro que llaman al virus lo habremos eliminado, pero será necesario asegurarnos de que tenemos instalada la actualización que lanzo Microsoft para evitar que otro Pc que aun se encuentre contaminado transmita la infección a través de la red al que acabamos de limpiar.Espero que esta información sea de utilidad, dispongo de una copia de todos los archivos que utiliza el virus y del registro infectado por si alguien quiere examinarlo con más detalle.'

Fuente: Blog "Cosas de los informáticos" 14/05/09

Entradas relacionadas:

• [08/05/2009] Un nuevo virus informático se ha dejado hoy sentir en la informática sanitaria madrileña (entrada nuestra)
• [10/05/2009] Virus informático en la Sanidad Madrileña (Blog RafaLinux)
  
• [12/05/2009] Un virus se cuela en los ordenadores de Sanidad (El País)
  
• [13/05/2009] Parece que el virus que esta atacando a la informática sanitaria madrileña es una variante de BUZUS (entrada nuestra)
• [14/05/2009] Nueva variante de troyano buzus que ha infectado la sanidad española (zonavirus.com)