Los servicios de informática de la sanidad madrileña se han visto atacados por una variante del troyano Buzus, el nuevo virus ataca todos los sistemas, se propaga a través de las unidades de red y de los pendrive, intenta establecer enlaces a través del puerto 445, provocando que las unidades e impresoras compartidas en los Pcs con Windows XP queden fuera de servicio dado que se supera el limite máximo de conexiones que es posible establecer con este sistema operativo.
Funcionamiento del virus:
En la carpeta Windows\System crea el fichero dllcache.exe, oculto y de solo lectura, este ejecutable contiene el virus, al iniciar el Pc se carga residente en memoria a través de la clave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Netmon
Tambien se inicia desde la clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Windows\System\dllcache.exe
En las siguientes claves del registro aparece tambien referenciado el virus para iniciarlo cuando se arranca en modo seguro.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dllcache
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dllcache
En algunos Pcs infectados aparece tambien el fichero \Windows\system32\drivers\SYSDRV32.SYS
Este no es más que una copia del dllcache.exe.
Además el virus genera ficheros con extensión .SCR en la carpeta Windows\System32, estos ficheros son ejecutables y se emplean para ser enviados a traves de las unidades de red administrativas que encuentre el PC, debido a una vulnerabilidad de Windows puede incluso añadir las claves al registro y ejecutarse de forma remota.
Este virus infecta los pendrive, copia los ficheros autorun.inf y strongkey-rc1.3-build-208.exe, el ultimo no es más que una copua del dllcache.exe que se ejecuta desde el autorun a través del siguiente script en los Pcs que tengan activo la autoejecución para las unidades:
[autorun]
shellexecute=strongkey-rc1.3-build-208.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey-rc1.3-build-208.exe
shell=default
Proceso de eliminación del Virus:
Para la eliminación de la criaturita debemos utilizar un LiveCD que contenga un editor de registro, aunque en teoria si conseguimos eliminar el fichero dllcache.exe en un momento en el que el virus no se encuentre residente será suficiente, en este caso aparecerá un mensaje de error al arrancar el ordenador dado que la clave run del registro de Windows tratará de cargar el fichero dllcache.exe.
Eliminado los ficheros indicados y las diferentes claves de registro que llaman al virus lo habremos eliminado, pero será necesario asegurarnos de que tenemos instalada la actualización que lanzo Microsoft para evitar que otro Pc que aun se encuentre contaminado transmita la infección a través de la red al que acabamos de limpiar.
Espero que esta información sea de utilidad, dispongo de una copia de todos los archivos que utiliza el virus y del registro infectado por si alguien quiere examinarlo con más detalle.