Virus Zimuse. A

Este virus es un gusano, localizado durante esta semana, que sobreescribe el Registro de arranque principal (Master Boot Record) de todas las unidades que existen con información perteneciente.

Es considerado de peligrosidad baja, causa un daño medio y su grado dispersabilidad es alto. No tiene capacidad de autopropagación ni de ejecutarse automáticamente cada vez que el equipo se reinicia.

Se extiende a unidades locales del sistema y si la fecha y la hora del equipo cumplen unas circunstancias específicas, el virus se copia a él mismo, con el nombre de zipsetup.exe (195072 B), en el directorio raíz de las siguientes unidades: A:\, B:\, C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\

En estos directorios se crea también un archivo autorun.inf, que se efectúa cuando se accede a estas unidades y se genera el fichero zipsetup.exe.

Cuando el gusano entra en el equipo y efectúa su infección, se establecen los siguientes ficheros:

  • %system% \drivers\Mstart.sys (13100 B)
  • %system% \drivers\Mseu.sys (18188 B)
  • %system% \mseus.exe (69632 B)
  • %system% \tokset.dll (195072 B)
  • %system% \ainf.inf (41 B)
  • %programfiles% \Dump\Dump.exe (28672 B)
  • %temp% \Mseu.ini (225 B)
  • %temp% \mseus.ini (328 B)
  • %temp% \Instdrv.exe (44552 B)
  • %temp% \Dump.ini (275 B)
  • %temp% \Regini.exe (68880 B)

Después, Zimuse. A. presenta un cuadro de diálogo en inglés e instala unos drivers de modo que se efectúa de forma automática en la iniciación del sistema. Los drives son los siguientes:

  • %system% \drivers\Mstart.sys, MSTART
  • %system% \drivers\Mseu.sys, MSEU

Y además, agrega estas entradas en el registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run Valor: "Dump" = " %programfiles% \Dump\Dump.exe"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000\Control Valor: "*NewlyCreated*" = 0 Valor: "ActiveService" = "MSTART"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000 Valor: "Service" = "MSTART" Valor: "Legacy" = 1 Valor: "ConfigFlags" = 0 Valor: "Class" = "LegacyDriver" Valor: "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" Valor: "DeviceDesc" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART Valor: "NextInstance" = 1
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mseu Valor: "Type" = 1 Valor: "Start" = 2 Valor: "ErrorControl" = 1 Valor: "Tag" = 1 Valor: "Group" = "Extended base"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Enum Valor: "0" = "Root\LEGACY_MSTART\0000" Valor: "Count" = 1 Valor: "NextInstance" = 1
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Security Valor: "Security" = "%cadena_hedecimal%"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART Valor: "Type" = 1 Valor: "Start" = 3 Valor: "ErrorControl" = 1 Valor: "ImagePath" = " %system% \drivers\MSTART.SYS" Valor: "DisplayName" = "MSTART"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ UnzipService Valor: "Type" = 272 Valor: "Start" = 2 Valor: "ImagePath" = " %system% \Mseus.exe" Valor: "ErrorControl" = 0 Valor: "DisplayName" = "Self extract service" Valor: "ObjectName" = "LocalSystem" Valor: "Description" = "Self extract archive decrypt" Valor: "ft1" = %FechayHora1%Valor: "ft2" = %FechayHora2%

Otra consecuencia que puede causar el gusano es la eliminación de los siguientes archivos:

  • C:\BOOT.INI
  • C:\NTDETECT.COM
  • C:\NTLDR
  • C:\HYBERFILE.SYS
  • C:\BOOTMGR
  • C:\BOOTMGR.BAK
  • C:\BOOTSECT
  • C:\BOOTSECT.BAK
  • C:\System Volume Information\*.*
  • D:\System Volume Information\*.*
  • E:\System Volume Information\*.*
  • F:\System Volume Information\*.*
  • G:\System Volume Information\*.*
  • H:\System Volume Information\*.*
  • I:\System Volume Information\*.*
  • J:\System Volume Information\*.*
  • C:\Documents and Settings\Administrator\My Documents\*.*
  • D:\Documents and Settings\Administrator\My Documents\*.*
  • E:\Documents and Settings\Administrator\My Documents\*.*
  • F:\Documents and Settings\Administrator\My Documents\*.*
  • G:\Documents and Settings\Administrator\My Documents\*.*
  • H:\Documents and Settings\Administrator\My Documents\*.*
  • I:\Documents and Settings\Administrator\My Documents\*.*
  • J:\Documents and Settings\Administrator\My Documents\*.*
  • C:\Users\Administrator\*.*
  • D:\Users\Administrator\*.*
  • E:\Users\Administrator\*.*
  • F:\Users\Administrator\*.*
  • G:\Users\Administrator\*.*
  • H:\Users\Administrator\*.*
  • I:\Users\Administrator\*.*
  • J:\Users\Administrator\*.*
  • C:\Documents and Settings\*.*
  • D:\Documents and Settings\*.*
  • E:\Documents and Settings\*.*
  • F:\Documents and Settings\*.*
  • G:\Documents and Settings\*.*
  • H:\Documents and Settings\*.*
  • I:\Documents and Settings\*.*
  • J:\Documents and Settings\*.*
  • C:\Users\*.*
  • D:\Users\*.*
  • E:\Users\*.*
  • F:\Users\*.*
  • G:\Users\*.*
  • H:\Users\*.*
  • I:\Users\*.*
  • J:\Users\*.*
  • c:\system32\drivers\*.*
  • c:\system32\CONFIG\*.*
  • c:\system32\*.*

Si se ha sufrido unataque por parte de este gusano, lo conveniente es volver a un punto de restauración anterior a la infección, para que el equipo vuelva al estado en el que no estaba infectado y desaparezca el virus

Si no se puede volver a un punto anterior de restauración, se debe apagar la Restauración del Sistema e intentar borrar el gusano reiniciando el ordenador en Modo Seguro y buscar las copias del virus que se encuentran en el equipo con un antivirus que esté actualizado. A continuación se deben borrar los siguientes archivos:

  • %system% \drivers\Mstart.sys
  • %system% \drivers\Mseu.sys
  • %system% \mseus.exe
  • %system% \tokset.dll
  • %system% \ainf.inf
  • %programfiles% \Dump\Dump.exe
  • %temp% \Mseu.ini
  • %temp% \mseus.ini
  • %temp% \Instdrv.exe
  • %temp% \Dump.ini
  • %temp% \Regini.exe

Si continúa sin poder eliminar el virus, es posible que sea porque está en funcionamiento y está usando los ficheros que se quieren eliminar, con lo que hay buscarlo y detenerlo para poder borrarlo.

Una vez que se ha conseguido borrar, se debe editar el registro para eliminar las modificaciones que el gusano ha efectuado. Hay que tener precaución a la hora de trabajar en el registro y realizar cambios, ya que, si se cambia algo de forma incorrecta, el equipo se puede ver perjudicado. Se deben borrar las siguientes entradas del registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run Valor: "Dump" = " %programfiles% \Dump\Dump.exe"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000\Control Valor: "*NewlyCreated*" = 0 Valor: "ActiveService" = "MSTART"
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART\0000
Valor: "Service" = "MSTART" Valor: "Legacy" = 1 Valor: "ConfigFlags" = 0 Valor: "Class" = "LegacyDriver" Valor: "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" Valor: "DeviceDesc" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_MSTART Valor: "NextInstance" = 1

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mseu Valor: "Type" = 1 Valor: "Start" = 2Valor: "ErrorControl" = 1 Valor: "Tag" = 1 Valor: "Group" = "Extended base"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Enum Valor: "0" = "Root\LEGACY_MSTART\0000" Valor: "Count" = 1 Valor: "NextInstance" = 1

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\ Security Valor: "Security" = "%cadena_hedecimal%"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART Valor: "Type" = 1 Valor: "Start" = 3 Valor: "ErrorControl" = 1 Valor: "ImagePath" = " %system% \drivers\MSTART.SYS" Valor: "DisplayName" = "MSTART"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ UnzipService Valor: "Type" = 272 Valor: "Start" = 2 Valor: "ImagePath" = " %system% \Mseus.exe" Valor: "ErrorControl" = 0 Valor: "DisplayName" = "Self extract service" Valor: "ObjectName" = "LocalSystem" Valor: "Description" = "Self extract archive decrypt" Valor: "ft1" = %FechayHora1% Valor: "ft2" = %FechayHora2%

Después de eliminar estos ficheros se deben borrar todos los archivos temporales del equipo, incluidos los de Internet y los que contenga la papelera de reciclaje.

Para asegurarse de que el virus ha sido eliminado es conveniente reiniciar el equipo y revisar todo el disco duro con un antivirus. También hay que reactivar la restauración del sistema si la desactivó anteriormente.

bootsect.bak virus, gusano, gusano informático, gusano+virus, imagenes+del+virus+gusano, Virus, virus gusano, virus zimuse, Virus Zimuse. A, VIRUS+GUSANOS, virus+informatico+gusano, virus+informaticos+gusano, virus+informaticos+gusanos, {8ECC055D-047F-11D1-A537-0000F8753ED1}

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *