NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Nuevo gusano w32/Datom.worm que propaga por red

Nombre de virus: W32/Datom.worm
Alias conocidos: Worm.Win32.Datom
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero Msvxd.exe
Propagación: A través de recursos compartidos de red
Detección: desde DATS 4211
Motor necesario: desde 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

 

W32/Datom.worm se propaga a través de unidades compartidas, y genera un fichero .exe (MSVXD.EXE) y dos .dll (MSVXD32.DLL y MSVXD16.DLL) en la carpeta Windows.

 

Utiliza dos técnicas para asegurar que se ejecute en posteriores reinicios del sistema: Busca el directorio Inicio de Windows (en sistemas operativos en Inglés, francés e italiano, NO en castellano) e intenta crear un enlace a sí mismo denominado "VxD Manager". También crea la siguiente clave de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\_Run ="MSVXD" %WinDir%\MSVXD.EXE 1632

Si el gusano está en memoria y se ejecuta el comando regedit o msconfig, oculta su entrada en el registro.

La carga de Msvxd32.dll utiliza 4 métodos de propagación: crea copias del virus en ficheros temporales, anula el software ZoneAlarm si lo encuentra activo, crea copia del gusano en carpetas y subcarpetas compartidas de la red local y modifica la clave del registro que abre ficheros HTML

La propagación a través de unidades compartidas sólo se produce desde sistemas WindowsNT/2K/XP, aunque puede copiarse a unidades de sistemas Win9x/Me.


Se controla desde DATS 4211, y para eliminarlo ofrecemos nuestra utilidad ELIDATOM.EXE en el área ‘Utilidades Satinfo’ , en www.satinfo.es. Esta utilidad detecta y elimina el gusano y restaura las claves modificadas por el mismo, luego, realiza una verificación de todas las unidades, en busca de copias del gusano que hayan sido generadas a través de recursos compartidos. Previo a ejecutar ELIDATOM es importante desactivar Vshield o Netshield residente, pulsando con el botón derecho del mouse sobre el icono respectivo, y seleccionando Salir o Desactivar.

Se recomienda instalar el SP1 de Virusscan 4.5.1 (disponible en el cdrom 4200 y en nuestra web, en Descargas de Productos), y activar el casilla Unidades de Red dentro de la pestaña Propiedades de la Exploración de Sistema, para controlar la entrada de gusanos vía recursos compartidos.

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 23 de Julio de 2002

Anterior