Enciclopedia Virus - Ontinet.com

	acerca de
	contacto
	términos y condiciones
	glosario


	> buscador


	> búsqueda avanzada



	principal
	alertas
	listas de correo
	noticias
	bulos
	enciclopedia
	virus
	envío de muestras
	para webmasters


Herramientas contra: (c) Paolo Monti





	Enciclopedia Virus es una página de

VIRUS:

WIN32/ZIMUSE.A

descripción

nombre:

Win32/Zimuse.A

aliases:

Trojan.Startpage.G, Trojan.Generic.1729691, W32/Threat-SysVenFakP-based!Maximus

tipo:

Gusano

fecha:

15/01/2010

gravedad general:

distribución:

daño:

tamaño:

195,072 Bytes

destructivo:

origen:

Desconocido

nombre asignado por:

ESET


>	INFORMACION
	Gusano que modifica la MBR (Master Boot Record) de todas las unidades disponibles.

CARACTERISTICAS

Cuando se ejecuta crea los siguientes archivos:

C:\Windows\System32\drivers\Mstart.sys
C:\Windows\System32\drivers\Mseu.sys
C:\Windows\System32\mseus.exe
C:\Windows\System32\tokset.dll
C:\Windows\System32\ainf.inf
C:\Archivos de programa\Dump\Dump.exe
C:\Windows\temp\Mseu.ini
C:\Windows\temp\mseus.ini
C:\Windows\temp\Instdrv.exe
C:\Windows\temp\Dump.ini
C:\Windows\temp\Regini.exe

Para ejecutarse en cada reinicio del sistema crea las siguientes claves del registro:

HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"Dump" = "C:\Archivos de programa\Dump\Dump.exe"

También crea las siguientes claves:

HKLM\CurrentControlSet\Enum\Root\
LEGACY_MSTART\0000\Control
"*NewlyCreated*" = 0
"ActiveService" = "MSTART"

HKLM\CurrentControlSet\Enum\Root\
LEGACY_MSTART\0000
"Service" = "MSTART"
"Legacy" = 1
"ConfigFlags" = 0
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "MSTART"

HKLM\CurrentControlSet\Enum\Root\
LEGACY_MSTART
"NextInstance" = 1

HKLM\CurrentControlSet\Services\Mseu
"Type" = 1
"Start" = 2
"ErrorControl" = 1
"Tag" = 1
"Group" = "Extended base"

HKLM\CurrentControlSet\Services\MSTART\
Enum
"0" = "Root\LEGACY_MSTART\0000"
"Count" = 1
"NextInstance" = 1

HKLM\CurrentControlSet\Services\MSTART\
Security
"Security" = "%hex_str%"

HKLM\CurrentControlSet\Services\MSTART
"Type" = 1
"Start" = 3
"ErrorControl" = 1
"ImagePath" = "C:\Windows\System32\drivers\MSTART.SYS"
"DisplayName" = "MSTART"

HKLM\CurrentControlSet\Services\
UnzipService
"Type" = 272
"Start" = 2
"ImagePath" = "C:\Windows\System32\Mseus.exe"
"ErrorControl" = 0
"DisplayName" = "Self extract service"
"ObjectName" = "LocalSystem"
"Description" = "Self extract archive decrypt"
"ft1" = %datetime1%
"ft2" = %datetime2%

Si la fecha y hora del sistema cumplen ciertas condiciones el gusano copia los archivos zipsetup.exe y autorun.inf en las siguientes unidades si estas se encuentran disponibles:

A:\
B:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

En esa misma fecha y hora modifica el MBR de dichas unidades con sus propios datos.

El malware también puede borrar los siguientes archivos:

C:\BOOT.INI
C:\NTDETECT.COM
C:\NTLDR
C:\HYBERFILE.SYS
C:\BOOTMGR
C:\BOOTMGR.BAK
C:\BOOTSECT
C:\BOOTSECT.BAK
C:\System Volume Information\*.*
D:\System Volume Information\*.*
E:\System Volume Information\*.*
F:\System Volume Information\*.*
G:\System Volume Information\*.*
H:\System Volume Information\*.*
I:\System Volume Information\*.*
J:\System Volume Information\*.*
C:\Documents and Settings\Administrador\Mis Documentos\*.*
D:\Documents and Settings\Administrador\Mis Documentos\*.*
E:\Documents and Settings\Administrador\Mis Documentos\*.*
F:\Documents and Settings\Administrador\Mis Documentos\*.*
G:\Documents and Settings\Administrador\Mis Documentos\*.*
H:\Documents and Settings\Administrador\Mis Documentos\*.*
I:\Documents and Settings\Administrador\Mis Documentos\*.*
J:\Documents and Settings\Administrador\Mis Documentos\*.*
C:\Usuario\Administrador\*.*
D:\Usuario\Administrador\*.*
E:\Usuario\Administrador\*.*
F:\Usuario\Administrador\*.*
G:\Usuario\Administrador\*.*
H:\Usuario\Administrador\*.*
I:\Usuario\Administrador\*.*
J:\Usuario\Administrador\*.*
C:\Documents and Settings\*.*
D:\Documents and Settings\*.*
E:\Documents and Settings\*.*
F:\Documents and Settings\*.*
G:\Documents and Settings\*.*
H:\Documents and Settings\*.*
I:\Documents and Settings\*.*
J:\Documents and Settings\*.*
C:\Usuario\*.*
D:\Usuario\*.*
E:\Usuario\*.*
F:\Usuario\*.*
G:\Usuario\*.*
H:\Usuario\*.*
I:\Usuario\*.*
J:\Usuario\*.*
C:\Windows\system32\drivers\*.*
C:\Windows\system32\CONFIG\*.*
C:\Windows\system32\*.*

INSTRUCCIONES PARA ELIMINARLO

1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del malware.

ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS

términos y condiciones | ayuda | contacto | acerca de