El Ataque del Caballo de Troya de Dmsetup.exe
Adoptado por prysm de otras fuentes 5/ 26/ 98
Actualizado por Jolo 7/ 1/ 98
¿Qué es DMSETUP.EXE?
Poniendolo claramente el
dmsetup.exe; es un archivo que (si ud está loco) en ejecutarlo
se copia asi mismo en varios lugares en su disco duro, creando su
propio mirc.ini y escritura (script) asociada y se agrega un
archivo de sistema para asegurar que no se puede eliminar
fácilmente.
Todo lo que el script
(escritura) hace, hasta ahora es envíarse asi mismo a las
personas que entran al canal y lo aceptan. Luego hace que se
caigan del IRC con el comando /quit hecho con cierta contraseña
codificada en el troyano.
Este archivo afecta por
lo menos mIRC 5.11 y 5.31 (la versión más actualizada) es
diferente al ataque del script.ini original, actualizar el mirc
no es la solución.
Como regla NUNCA no
debemos aceptar o ejecutar cualquier programa que no conoscamos.
Considere el dmsetup.exe tal como un VIRUS sucio.
Para arreglar este
problema, hay 2 guiones principales, depende de si tiene mIRC en
el disco duro C:\ o no. Nosotros recomendamos altamente que usted
siga los siguientes pasos, porque es mucho mejor estar seguro que
ha erradicado el problema, más probable que usted es leer lo mas
último, más actualizada información aquí.
Si todo lo otro falla,
o si todo de esto tiene mucho habla-técnica y no puede encontrar
un amigo que lo encamine a usted por los pasos, puede escojer en
probar un downloading de un archivo de comando que encontrara en:
http://www.mirc.bay-city.net/dmremove.html
que debe ejecutar , y esperar que haga todo de esto por usted. Usted verdaderamente ¡debe usar ese sólo come recurso último!
---------------------------------------------------------------------------
Si tiene el mIRC instalado en su disco duro C:\
En otro palabras si tiene c:\mirc\
Primera vez que el dmsetup.exe se ejecuta.
1. Se copia mismo a c:\
c:\mirc
c:\windows\
c:\Program Files\
pero no se copia el mismo a cualquier otra parte.
2. entonces crea c:\configg.sys (razón explicada más tarde).
3. Entonces agrega línea del dmsetup en el autoexec.bat (se puede ver éste con un editor de texto).
4. copia mirc.ini a backup0412.ini
5. Crea mirc.ini y mircrem.ini
6. Despliega error tipo 0 (de manera que piensa que el download se quebro o no termino.
2nd 3rd 4th. ves que se ejecuta
Hace todos los pasos mencionados exactamente excepto paso 2 & 3 debido a la existencia de configg.sys (inseguro si su volúmenes son reconocidos)
Curso de Acción recomendada.
1. Descarga mircrem.ini hecho con el comando /unload -rs mircrem.ini
2. Abrir c:\autoexec.bat con Notepad y quitar la línea del dmsetup salve los cambios y cierre el Notepad.
3. Anula los siguientes archivos:
c:\dmsetup.exe
c:\configg.sys
c:\mirc\dmsetup.exe
c:\mirc\mircrem.ini
c:\mirc\backup0412.ini
c:\windows\dmsetup.exe
c:\progra~ 1\dmsetup.exe o C:\Program Files\dmsetup.exe
No he incluido mirc.ini
porque una vez que se va mircrem.ini; mIRC restablece una línea
en éste que estaba por hacer daño- Tambien dejaré la opción
en usted.
----------------------------------------------------------------------------------------
Si ud no tiene el mIRC
instalado en su disco duro de c:\
El ataque ejecuta pasos
1 a 3 mencionados previamente, pero regresa con error tipo 1.
Hay una differencia en
paso 1 sin embargo- porque el directorio de c:\mirc no existe
entonces se copia asi mismo en el despliegue de Mirc (ninguna
extensión) en disco duro principal.
Porque no alteró
mirc.ini, las personas no sabrán incluso que lo tienen ni
ninguna otra persona, a menos que vayan de curiosos o hasta que
pongan el mIRC en el disco duro c:\
Curso de acción recomendado
1. Abrir c:\autoexec.bat con NOTEPAD y quita la línea del dmsetup salve los cambios y cierre el programa.
2. Anula los siguientes archivos
c:\dmsetup.exe
c:\configg.sys
c:\mirc
c:\windows\dmsetup.exe
c:\progra~ 1\dmsetup.exe
----------------------------------------------------------------------------------------
Ya debería haber
erradicado el ataque del dmsetup ahora. Favor de tomar un tiempo
en leer los otros archivos de la ayuda en:
http://www.irchelp.org/irchelp/security/
asegurarse que no este
infectado con otro caballo de Troya o ataques similares, y
asegurar de no ser infectado de nuevo en el futuro.
ã Derechos Reservados Traducción por Oscar B.