C:\Windows\MDBOLE.EXE
C:\Windows\System\SEG32.EXE
C:\Windows\System\WINS.EXE
C:\Windows\System\INT13EXT.VXD

Este último archivo posee 6,772 bytes.

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

El gusano crea también las siguientes entradas en el registro:

HKEY_LOCAL_MACHINE\Software\K32
"T" = 0xA0BB0D00

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = C:\WINDOWS\SYSTEM\WINS.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
(Predeterminado) = C:\WINDOWS\SYSTEM\WINS.EXE

HKCR\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = C:\WINDOWS\SYSTEM\WINS.EXE

HKCR\exefile\shell\open\command
(Predeterminado) = C:\WINDOWS\SYSTEM\seg32.exe "%1" %*

Esta última entrada hace que cada vez que se llama a un archivo .EXE, sea el gusano el que se ejecuta primero.

Algunas de las otras, permiten que el gusano se ejecute al reiniciarse Windows.

El gusano intenta enviarse a través del correo electrónico. Al usar su propia rutina SMTP, no importa que cliente de correo está instalado en la máquina infectada para propagarse.

Para el envío intenta conectarse a las siguientes direcciones SMTP y POP3. Primero, con un nombre de usuario y contraseña incluido en su código, intenta conectarse a la siguiente dirección POP3:

pop.pochtamt.ru

Si tiene éxito, procede a enviarse, a través del siguiente SMTP:

smtp.pochtamt.ru

El mensaje tiene estas características:

De: rundll32@pochtamt.ru
Asunto: INFO
Para: rundll32@pochtamt.ru

La razón del mensaje parecería ser por razones estadísticas, ya que de esa forma el autor (a quien pertenecería dicha dirección de correo) recibe un mensaje por cada usuario infectado.

El gusano se conecta a todos los recursos compartidos visibles, además de los siguientes tres tipos de recursos compartidos ocultos:

C$
D$
IPC$

Si en esos recursos se encuentra un directorio llamado WINDOWS o WINNT, los siguientes archivos son creados en dicho directorio:

Mdbole.cfg
Mdbole.exe

También se modifican en dichas carpetas, los archivos WIN.INI y SYSTEM.INI, para hacer se ejecute en esas computadoras remotas, cuando éstas se reinicien.

WIN.INI:

[windows]
run=MDBOLE.EXE

SYSTEM.INI:

[boot]
shell=Explorer.exe MDBOLE.EXE

Reparación manual

Desconecte físicamente cada PC de la red, y proceda a limpiar cada computadora en forma individual como se explica aquí.

Luego, debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = C:\WINDOWS\SYSTEM\seg32.exe "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (C:\WINDOWS\SYSTEM\seg32.exe) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\K32

8. Pinche sobre la carpeta "K32" y bórrela.

9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices

10. Pinche sobre la carpeta "RunServices". En el panel de la derecha pinche sobre "(Predeterminado)" y bórrelo.

11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce

12. Pinche sobre la carpeta "RunOnce". En el panel de la derecha pinche sobre "(Predeterminado)" y bórrelo.

13. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

14. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre "(Predeterminado)" y bórrelo.

15. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

16. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo WIN.INI y SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[windows]
run=MDBOLE.EXE

Debe quedar como:

[windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

5. Busque lo siguiente:

[boot]
shell=Explorer.exe MDBOLE.EXE

y déjelo así:

[boot]
shell=Explorer.exe

6. Grabe los cambios y salga del bloc de notas

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com