WORM_ZIMUS.A
Windows 98, ME, NT, 2000, XP, Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Para obtener una visión integral del comportamiento de este Worm, consulte el diagrama de amenazas que se muestra a continuación.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System%\tokset.dll
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Infiltra los archivos siguientes:
- %Program Files%\Dump\dump.exe - non-malicious
- %User Temp%\instdrv.exe - non-malicious
- %System%\drivers\mseu.sys - used by this malware to delete files
- %System%\drivers\mstart.sys - used by this malware to delete files
- %System%\mseus.exe - contains the main worm routine and MBR infection routine
- %System%\ainf.inf - copy of autorun.inf
- %User Temp%\Regini.exe - non-malicious file
- %System%\ainf.inf - copy of autorun.inf
- %System%\drivers\mseu.sys - used by this malware to delete files also detected as WORM_ZIMUS.A
- %System%\drivers\mstart.sys - used by this malware to delete files also detected as WORM_ZIMUS.A
- %System%\mseus.exe - contains the main worm routine and MBR infection routine also detected as WORM_ZIMUS.A
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Crea las carpetas siguientes:
- %Program Files%\Dump
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\System\
MSTART
(Default) =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Mseu
(Default) =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSTART
(Default) =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UnzipService
(Default) =
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Dump = %Program Files%\Dump\Dump.exe
Otras modificaciones del sistema
Elimina los archivos siguientes:
- %User Temp%\Dump.ini
- %User Temp%\mseu.ini
- %User Temp%\mseus.ini
- %User Temp%\Regini.exe
- %User Temp%\instdrv.exe
- C:\BOOT.INI
- C:\BOOTMGR
- C:\BOOTMGR.BAK
- C:\BOOTSECT
- C:\BOOTSECT.BAK
- C:\Documents and Settings\*.*
- C:\Documents and Settings\Administrator\My Documents\*.*
- C:\HYBERFILE.SYS
- C:\NTDETECT.COM
- C:\NTLDR
- C:\System Volume Information\*.*
- C:\Users\*.*
- C:\Users\Administrator\*.*
- D:\Documents and Settings\*.*
- D:\Documents and Settings\Administrator\My Documents\*.*
- D:\System Volume Information\*.*
- D:\Users\*.*
- D:\Users\Administrator\*.*
- E:\Documents and Settings\*.*
- E:\Documents and Settings\Administrator\My Documents\*.*
- E:\System Volume Information\*.*
- E:\Users\*.*
- E:\Users\Administrator\*.*
- F:\Documents and Settings\*.*
- F:\Documents and Settings\Administrator\My Documents\*.*
- F:\System Volume Information\*.*
- F:\Users\*.*
- F:\Users\Administrator\*.*
- G:\Documents and Settings\*.*
- G:\Documents and Settings\Administrator\My Documents\*.*
- G:\System Volume Information\*.*
- G:\Users\*.*
- G:\Users\Administrator\*.*
- H:\Documents and Settings\*.*
- H:\Documents and Settings\Administrator\My Documents\*.*
- H:\System Volume Information\*.*
- H:\Users\*.*
- H:\Users\Administrator\*.*
- I:\Documents and Settings\*.*
- I:\Documents and Settings\Administrator\My Documents\*.*
- I:\System Volume Information\*.*
- I:\Users\*.*
- I:\Users\Administrator\*.*
- J:\Documents and Settings\*.*
- J:\Documents and Settings\Administrator\My Documents\*.*
- J:\System Volume Information\*.*
- J:\Users\*.*
- J:\Users\Administrator\*.*
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Propagación
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- zipsetup.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como WORM_ZIMUS.A
Did this description help? Tell us how we did.