|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
W32/Datom.worm se propaga a través de unidades compartidas, y genera un fichero .exe (MSVXD.EXE) y dos .dll (MSVXD32.DLL y MSVXD16.DLL) en la carpeta Windows.
Utiliza dos técnicas para asegurar que se ejecute en posteriores
reinicios del sistema: Busca el directorio Inicio de Windows (en sistemas
operativos en Inglés, francés e italiano, NO en castellano) e intenta crear un
enlace a sí mismo denominado "VxD Manager". También crea la siguiente clave de
registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\_Run
="MSVXD" %WinDir%\MSVXD.EXE 1632
Si el gusano está en memoria y se ejecuta el comando regedit o msconfig, oculta su entrada en el registro.
La carga de Msvxd32.dll utiliza 4 métodos de propagación: crea copias del virus en ficheros temporales, anula el software ZoneAlarm si lo encuentra activo, crea copia del gusano en carpetas y subcarpetas compartidas de la red local y modifica la clave del registro que abre ficheros HTML
La propagación a través de unidades compartidas sólo se produce desde sistemas WindowsNT/2K/XP, aunque puede copiarse a unidades de sistemas Win9x/Me.
Se controla desde DATS 4211, y para eliminarlo ofrecemos nuestra utilidad ELIDATOM.EXE en
el área Utilidades Satinfo , en www.satinfo.es. Esta utilidad detecta
y elimina el gusano y restaura las claves modificadas por el mismo, luego, realiza una
verificación de todas las unidades, en busca de copias del gusano que hayan sido
generadas a través de recursos compartidos. Previo a ejecutar ELIDATOM es
importante desactivar Vshield o Netshield residente, pulsando con el botón derecho
del mouse sobre el icono respectivo, y seleccionando Salir o Desactivar.
Se recomienda instalar el SP1 de Virusscan 4.5.1 (disponible en el cdrom 4200 y en nuestra web, en Descargas de Productos), y activar el casilla Unidades de Red dentro de la pestaña Propiedades de la Exploración de Sistema, para controlar la entrada de gusanos vía recursos compartidos.
SATINFO, VIRUSCAN SPAIN SERVICE 23 de Julio de 2002