Nombre de virus: W32/Duni.worm.c
Alias conocidos: W32/Bandera, W32/Postal Amistad, W32/Grade
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero adjunto infectado o descargado por KaZaa
Propagación: Adjunto a un mensaje de correo electrónico y vía Kazaa
Detección: desde DATS 4211
Motor necesario: desde 4.1.50
Infección actual: Inicial (Inicial, Media, Elevada)

El gusano w32/Duni.worm.c se recibe reenviado como un fichero ejecutable con
doble extensión (truco utilizado por algunos virus para disimular su extensión
ejecutable, y engañar al usuario aparentando ser inofensivos TXT, BAK, LOG, etc)

Cuando se abren dichos ficheros, Windows aplica lo que procede para la extensión real, y en consecuencia ejecuta el fichero como EXE, aunque figure en último término, y que según la configuración de Windows no sea visible al usuario.

Al ejecutarlo, copia en el directorio raíz de C: el fichero BanderaNegra.VBS,
que es un script para reenviarse por e-mail a todas las direcciones de la libreta del Outlook.

A continuación queda residente, procediendo a copiarse él mismo en la raíz
de C:\, con varios nombres como: AUTOEXEC.BAT.EXE, COMMAND.COM.EXE, .EXE, CONFIG.SYS.EXE, SCANDISK.LOG.EXE, etc., así como otros en el directorio de Windows (C:\WINDOWS, C:\WINNT), como PostalDeAmistad.PIF, EnLosAndes.PIF, Cristo_Nos_Enseña.Doc.PIF, Listado.txt.by.Microsoft.COM, etc.

Borra ficheros como el C:\AUTOEXEC.BAT, y algunos antivirus residentes como el VSHIELD.VXD, precisando que sean restaurados.

Modifica claves de registro de sistema con valores KaZaa, PAV.EXE, ZonaVirus, Folder, Bnexe y OFF. Desde la clave con valor Bnexe, ejecuta cualquiera de las copias del gusano existente en el disco duro, con lo que en cada reinicio se ejecutar el virus, estando residente hasta apagar el equipo.

El envío por e-mail lo hace con texto en castellano (Está hecho en Chile),

por lo que en España "cuela" con facilidad, con variedad de Asuntos y consecuentes ficheros anexados de distintos nombres.(iguales a los creados en el directorio de Windows antes indicados).

Para eliminar tanto esta variante como las anteriores (a y b, cuya principal

diferencia es el uso y creación de ficheros con extensión .CPL) :

1.- Crear un directorio temporal en la unidad raíz (p.e. C:\DUNI) y copiar dentro el fichero SDAT4211.EXE o posterior, y los ficheros LIMPIA.EXE y ELIDUNI.EXE

(Pueden encontrar el fichero SDAT4211.EXE o posterior en www.satinfo.es dentro de descargas de DATS y Superdats, y las utilidades LIMPIA y ELIDUNI dentro del apartado 'Utilidades Satinfo')

2.- Pulsar doble-click sobre el fichero ELIDUNI.EXE.

(Si el sistema es WinNT/Win2K/WinXP, apagar el equipo y al volver a iniciarlo ejecutar nuevamente ELIDUNI.EXE)

3.- Desde Windows, Ir a Inicio | Ejecutar y teclear command en la caja de texto (se abrirá una sesión de DOS).

Situarse en el directorio creado en el punto 1, tecleando

CD C:\DUNI

Descomprimir el contenido de SDAT4211.EXE ejecutando

SDAT4211 /e

Ejecutar LIMPIA.EXE . (Incluyendo el punto)

4.- Una vez eliminado el gusano, como w32/Duni habrá borrado ficheros de la instalación del antivirus, les sugerimos que ejecuten la utilidad DESINST.EXE para acabar de desinstalar VirusScan y poder volver a reinstalarlo (recuerden luego aplicar el último Superdat disponible).

Se controla desde DATS 4211, engine 4.1.50, disponible en nuestra web, www.satinfo.es

SATINFO, VIRUSCAN SPAIN SERVICE 11 de Julio de 2002

Anterior