WORM_ZIMUS.B

Para obtener una visión integral del comportamiento de este Worm, consulte el diagrama de amenazas que se muestra a continuación.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Detalles de entrada

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\tokset.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %Program Files%\Dump\Dump.exe
• %System Root%\IQTEST\Iqtest.exe
• %System Root%\IQTEST\Readme.txt
• %System%\ainf.inf
• %System%\drivers\Mseu.sys - also detected as WORM_ZIMUS.B
• %System%\drivers\Mstart.sys - also detected as WORM_ZIMUS.B
• %System%\mseus.exe - also detected as WORM_ZIMUS.B

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Crea las carpetas siguientes:

• %Program Files%\Dump
• %System Root%\IQTEST

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\MSTART
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Mseu
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSTART
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UnzipService
(Default) =  

Otras modificaciones del sistema

Elimina los archivos siguientes:

• C:\BOOT.INI
• C:\BOOTMGR
• C:\BOOTMGR.BAK
• C:\BOOTSECT
• C:\BOOTSECT.BAK
• C:\Documents and Settings\*.*
• C:\Documents and Settings\Administrator\My Documents\*.*
• C:\HYBERFILE.SYS
• C:\NTDETECT.COM
• C:\NTLDR
• C:\System Volume Information\*.*
• C:\Users\*.*
• C:\Users\Administrator\*.*
• D:\Documents and Settings\*.*
• D:\Documents and Settings\Administrator\My Documents\*.*
• D:\System Volume Information\*.*
• D:\Users\*.*
• D:\Users\Administrator\*.*
• E:\Documents and Settings\*.*
• E:\Documents and Settings\Administrator\My Documents\*.*
• E:\System Volume Information\*.*
• E:\Users\*.*
• E:\Users\Administrator\*.*
• F:\Documents and Settings\*.*
• F:\Documents and Settings\Administrator\My Documents\*.*
• F:\System Volume Information\*.*
• F:\Users\*.*
• F:\Users\Administrator\*.*
• G:\Documents and Settings\*.*
• G:\Documents and Settings\Administrator\My Documents\*.*
• G:\System Volume Information\*.*
• G:\Users\*.*
• G:\Users\Administrator\*.*
• H:\Documents and Settings\*.*
• H:\Documents and Settings\Administrator\My Documents\*.*
• H:\System Volume Information\*.*
• H:\Users\*.*
• H:\Users\Administrator\*.*
• I:\Documents and Settings\*.*
• I:\Documents and Settings\Administrator\My Documents\*.*
• I:\System Volume Information\*.*
• I:\Users\*.*
• I:\Users\Administrator\*.*
• J:\Documents and Settings\*.*
• J:\Documents and Settings\Administrator\My Documents\*.*
• J:\System Volume Information\*.*
• J:\Users\*.*
• J:\Users\Administrator\*.*

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Dump = %Program Files%\Dump\Dump.exe

Propagación

Infiltra copias de sí mismo en las unidades siguientes:

• A
• B
• C
• D
• E
• F
• G
• H
• I
• J