_setup.exe
riched20.dll

Note el primer carácter "_" en "_setup.exe". Ambos archivos son liberados por el gusano en alguna carpeta compartida en red, donde también existan archivos con extensión .DOC (generalmente documentos de Word).

El archivo "_setup.exe" contiene además del propio virus, un archivo HOST (o sea el cuerpo original de un archivo infectado), y el DLL "riched20.dll".

Este último, contiene a su vez el código para ejecutar a "_setup.exe".

Cuando el virus se ejecuta en el disco duro, extrae el HOST al directorio actual (donde se estuviera ejecutando), usando el nombre del virus más un caracter vacío, con la misma extensión. Por ejemplo: NOMBRE.EXE queda como NOMBRE[espacio].EXE = NOMBRE .EXE.

Luego habilita los atributos de archivo (+A), sistema (+S) y oculto (+H) del host y lo ejecuta.

Si en cambio se ejecuta en una unidad de red, el virus extrae el host en la carpeta de archivos temporales local con un nombre como:

mep[xxxx].tmp.exe

También activa sus atributos de archivo (+A), sistema (+S) y oculto (+H).

[xxxx] representa 2 pares de números hexadecimales, por ejemplo:

mep0CF1.tmp.exe
mepA210.tmp.exe
mep35BB.tmp.exe

Después de ejecutarlo, el virus crea o modifica el archivo de Windows WININIT.INI para que el archivo recién creado del host sea borrado en el próximo reinicio de Windows (es un procedimiento normal de Windows al desinstalar o instalar programas):

[rename]
NUL=[camino y nombre del archivo]

Si la computadora infectada es Windows NT, 2000 o XP, el virus crea esta entrada en el registro:

HKLM\System\CurrentControlSet\Control\Session Manager
\PendingFileRenameOperations = \xx\[camino y nombre del archivo]

El virus infecta todos los archivos .EXE que encuentre en las carpetas indicadas en la siguiente clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths\

Allí se listan la mayoría de las aplicaciones instaladas en el sistema, casi todas ubicadas en las carpetas de "Archivos de programa".

Durante la infección el virus inserta su código malicioso al principio del archivo infectado (host), y el .DLL riched20.dll al final. También conserva el icono original del archivo infectado.

Para impedir infectar archivos ya infectados, el virus crea una marca de infección (6Fh) en el offset CFh desde el inicio del archivo:

         000000   4D 5A 90 00  03 00 00 00  04 00 00 00  FF FF 00 00
         000010   B8 00 00 00  00 00 00 00  40 00 00 00  00 00 00 00
         000020   00 00 00 00  00 00 00 00  00 00 00 00  00 00 00 00
         000030   00 00 00 00  00 00 00 00  00 00 00 00  F8 00 00 00
         000040   0E 1F BA 0E  00 B4 09 CD  21 B8 01 4C  CD 21 54 68
         000050   69 73 20 70  72 6F 67 72  61 6D 20 63  61 6E 6E 6F
         000060   74 20 62 65  20 72 75 6E  20 69 6E 20  44 4F 53 20
         000070   6D 6F 64 65  2E 0D 0D 0A  24 00 00 00  00 00 00 00
         000080   2A 57 56 BA  6E 36 38 E9  6E 36 38 E9  6E 36 38 E9
         000090   15 2A 34 E9  6F 36 38 E9  86 29 32 E9  28 36 38 E9
         0000A0   ED 2A 36 E9  7E 36 38 E9  6E 36 38 E9  6B 36 38 E9
         0000B0   6E 36 39 E9  17 36 38 E9  0C 29 2B E9  61 36 38 E9
         0000C0   86 29 33 E9  62 36 38 E9  86 29 3D E9  6F 36 38[6F]

Para infectar archivos en recursos compartidos en red, el virus primero enumera todos los recursos y selecciona solo los correspondientes a unidades de disco.

Después de ello, busca allí archivos .EXE y .DOC. Cuando los encuentra, infecta los .EXE de la misma forma ya vista. Pero cuando además encuentra archivos .DOC en la misma carpeta, entonces extrae y copia allí el archivo riched20.dll.

También busca archivos .DOC y .EXE en todas las subcarpetas del actual recurso compartido.

El virus explota una vulnerabilidad de Windows conocida como "Microsoft Windows DLL Search Path Vulnerability". Esta falla ocurre cuando un archivo .DLL requerido por MS Word (como RICHED20.DLL), es ubicado en la misma carpeta donde se encuentra el .DOC que va a ser abierto. En ese caso, Word carga el DLL de esa carpeta en lugar del correspondiente ubicado en el sistema de Windows.

Cuando un usuario intenta abrir un documento dentro de la carpeta donde se encuentre el RICHED20.DLL malicioso, Word ejecuta este DLL (también infectado), ejecutando al virus.

En sistemas NT, 2000 y XP, el virus crea una cuenta "Guest" como invitado sin contraseñas en la máquina infectada y agrega dicha cuenta en los grupos Administrador y Huésped locales. De ese modo esa cuenta sin contraseña adquiere todos los privilegios del administrador, comprometiendo seriamente la seguridad de los equipos infectados.

En un intento de hacer aún más vulnerable una máquina infectada, el virus intenta compartir todos las unidades de disco locales de la C a la Z. Para ello, en sistemas Windows NT, 2000 y XP se vale del comando NET SHARE (C$...Z$), etc.

En Windows 95, 98 y Me, crea esta entrada en el registro para hacer lo mismo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Network\LanMan\C

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Network\LanMan\D

[... hasta la unidad que exista]

Además, el virus cambia los atributos del recurso compartido en la máquina local con accesos de lectura y escritura y sin contraseñas, modificando las correspondientes entradas en el registro (dentro de la carpeta de cada unidad compartida). Ejemplo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Network\LanMan\C

Flags = 192 (en hexadecimal)
Parm1enc = 0 (valor binario cero)
Parm2enc = 0 (valor binario cero)

Finalmente infecta todos los archivos .EXE que encuentre en todos los recursos que acaba de habilitar como compartidos.

En equipos con Windows NT, 2000 y XP, el virus crea un proceso remoto del Explorer, que contiene todas las rutinas maliciosas ya vistas. Esto hace difícil su limpieza con el virus en memoria.

Para prevenir cargarse más de una vez en memoria, el virus crea dos mutex (especie de semáforos que le indican que ya está activo), con los siguientes nombres:

kkklgyfguMyppp
kkklgyfguMyppp2

En equipos Windows 95, 98 y Me, el virus se esconde a si mismo de la lista de procesos visibles (tareas que se muestran al pulsar las teclas CTRL+ALT+SUPR), registrándose como un servicio.


Reparación manual

Deshabilitar las carpetas compartidas

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Cerrar proceso EXPLORER en Windows NT, 2000 y XP

Cómo este virus crea un proceso remoto del EXPLORER.EXE infectado en memoria, es necesario reiniciar este proceso.

1. Cierre todas las ventanas abiertas del Windows Explorer abiertas.

2. Abra el Administrador de tareas. Pulse CTRL+SHIFT+ESC y pinche en la lengüeta "Proceso".

3. En la lista de programas en ejecución, localice el EXPLORER o EXPLORER.EXE y seleccione el botón de finalizar tarea.

4. Cierre el Administrador de tareas.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Cómo recuperar RICHED20.DLL

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

RICHED20.DLL

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

RICHED20.DLL

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").


En Windows XP:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Expandir archivo"

3. En "Archivo para restaurar" escriba el nombre del archivo a restaurar:

RICHED20.DLL

4. En "Restaurar desde" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM32" (sin las comillas).

7. Pinche en "Expandir".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Control
\Session Manager

3. Pinche en la carpeta "Session Manager" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

PendingFileRenameOperations

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Network
\LanMan

5. Pinche en la carpeta "LanMan" y borre las carpetas "C", "D", "E", etc.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Nota: Si usted comparte normalmente sus discos en una red, debe volver a hacerlo con el procedimiento normal de Windows, luego de la limpieza de este virus.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Aplicaciones:

18/jun/03 - Alias: W32.Nimda.R




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com