El Ataque del Caballo de Troya de Dmsetup.exe

Adoptado por prysm de otras fuentes 5/ 26/ 98

Actualizado por Jolo 7/ 1/ 98

¿Qué es DMSETUP.EXE?

Poniendolo claramente el dmsetup.exe; es un archivo que (si ud está loco) en ejecutarlo se copia asi mismo en varios lugares en su disco duro, creando su propio mirc.ini y escritura (script) asociada y se agrega un archivo de sistema para asegurar que no se puede eliminar fácilmente.
Todo lo que el script (escritura) hace, hasta ahora es envíarse asi mismo a las personas que entran al canal y lo aceptan. Luego hace que se caigan del IRC con el comando /quit hecho con cierta contraseña codificada en el troyano.
Este archivo afecta por lo menos mIRC 5.11 y 5.31 (la versión más actualizada) es diferente al ataque del script.ini original, actualizar el mirc no es la solución.
Como regla NUNCA no debemos aceptar o ejecutar cualquier programa que no conoscamos. Considere el dmsetup.exe tal como un VIRUS sucio.
Para arreglar este problema, hay 2 guiones principales, depende de si tiene mIRC en el disco duro C:\ o no. Nosotros recomendamos altamente que usted siga los siguientes pasos, porque es mucho mejor estar seguro que ha erradicado el problema, más probable que usted es leer lo mas último, más actualizada información aquí.
Si todo lo otro falla, o si todo de esto tiene mucho habla-técnica y no puede encontrar un amigo que lo encamine a usted por los pasos, puede escojer en probar un downloading de un archivo de comando que encontrara en:

http://www.mirc.bay-city.net/dmremove.html

que debe ejecutar , y esperar que haga todo de esto por usted. Usted verdaderamente ¡debe usar ese sólo come recurso último!

---------------------------------------------------------------------------

Si tiene el mIRC instalado en su disco duro C:\

En otro palabras si tiene c:\mirc\

Primera vez que el dmsetup.exe se ejecuta.

1. Se copia mismo a c:\

c:\mirc

c:\windows\

c:\Program Files\

pero no se copia el mismo a cualquier otra parte.

2. entonces crea c:\configg.sys (razón explicada más tarde).

3. Entonces agrega línea del dmsetup en el autoexec.bat (se puede ver éste con un editor de texto).

4. copia mirc.ini a backup0412.ini

5. Crea mirc.ini y mircrem.ini

6. Despliega error tipo 0 (de manera que piensa que el download se quebro o no termino.

2nd 3rd 4th. ves que se ejecuta

Hace todos los pasos mencionados exactamente excepto paso 2 & 3 debido a la existencia de configg.sys (inseguro si su volúmenes son reconocidos)

Curso de Acción recomendada.

1. Descarga mircrem.ini hecho con el comando /unload -rs mircrem.ini

2. Abrir c:\autoexec.bat con Notepad y quitar la línea del dmsetup salve los cambios y cierre el Notepad.

3. Anula los siguientes archivos:

c:\dmsetup.exe

c:\configg.sys

c:\mirc\dmsetup.exe

c:\mirc\mircrem.ini

c:\mirc\backup0412.ini

c:\windows\dmsetup.exe

c:\progra~ 1\dmsetup.exe o C:\Program Files\dmsetup.exe

No he incluido mirc.ini porque una vez que se va mircrem.ini; mIRC restablece una línea en éste que estaba por hacer daño- Tambien dejaré la opción en usted.
----------------------------------------------------------------------------------------

Si ud no tiene el mIRC instalado en su disco duro de c:\
El ataque ejecuta pasos 1 a 3 mencionados previamente, pero regresa con error tipo 1.
Hay una differencia en paso 1 sin embargo- porque el directorio de c:\mirc no existe entonces se copia asi mismo en el despliegue de Mirc (ninguna extensión) en disco duro principal.
Porque no alteró mirc.ini, las personas no sabrán incluso que lo tienen ni ninguna otra persona, a menos que vayan de curiosos o hasta que pongan el mIRC en el disco duro c:\

Curso de acción recomendado

1. Abrir c:\autoexec.bat con NOTEPAD y quita la línea del dmsetup salve los cambios y cierre el programa.

2. Anula los siguientes archivos

c:\dmsetup.exe

c:\configg.sys

c:\mirc

c:\windows\dmsetup.exe

c:\progra~ 1\dmsetup.exe

----------------------------------------------------------------------------------------

Ya debería haber erradicado el ataque del dmsetup ahora. Favor de tomar un tiempo en leer los otros archivos de la ayuda en:
http://www.irchelp.org/irchelp/security/
asegurarse que no este infectado con otro caballo de Troya o ataques similares, y asegurar de no ser infectado de nuevo en el futuro.

ã Derechos Reservados Traducción por Oscar B.