Introducción:
Otro virus-script, pero más
complejo, de aparición mucho más reciente, este fichero infeccioso
tiene características particulares que lo hacen más peligroso
y perjudicial que el fichero SCRIPT.INI. En este apartado describiré
el resultado de las primeras observaciones del fenómeno; este análisis
es muy incompleto porque en este momento es muy poco lo que sabemos aún
de él, pero he preferido avanzarlo ya para ir paliandolo en lo posible
en la medida de nuestras posibilidades.
La primera gran diferencia frente al SCRIPT.INI es que DMSETUP.EXE se trata de un fichero binario, es decir, un programa ejecutable cuyo contenido y efectos no es fácil analizar a priori. este fichero es ejecutado automáticamente por el sistema por tanto, si lo recibe, puede activarse aún en el caso de que usted no lo ejecute directamente.
Como actúa:
El DMSETUP.EXE modifica el
contenido del fichero "mirc.ini", el principal fichero de configuración
de MIRC, añadiendo líneas de órdenes de script y otros
cambios. Esto supone la aparición de los efectos típicos
de un virus-script. Los dos más destacables son:
Añade al "mirc.ini"
una orden que produce el envío de "dmsetup.exe", desde el usuario
infectado hasta cualquier persona que entre al canal en el que éste
se encuentra.
Añade al "mirc.ini" del usuario infectado una orden que provoca la desconexión de este en el momento en que recibe determinada palabra clave en una ventana de query. El mensaje de la desconexión, en la versión que he analizado, es: "'tis to I who seem so sad".
Crea copias de sí mismo
en el directorio c:\mirc y c:\windows (esta última es la que envía
al resto de los usuarios para su reproducción); e intenta sobreescribir
el fichero "autoexec.bat" con ordenes para recrear estas copias cada vez
que se reinicia el sistema.
Así mismo se observan
otras líneas de configuración de menor relevancia añadidas
a "mirc.ini". En la versión analizada parecen más bien una
mera copia de las líneas originales del autor, pero con pocos efectos
perniciosos adicioneles para los infectados. Más bien parece un
descuido, porque la definición del tamaño de las ventanas
y otras configuraciones puede resultar un buen indicativo de la presencia
del virus en personas que no las tuvieran así, y observen un cambio
inesperado de este tipo; incluso se puede apreciar lo que parece ser la
IP original del autor y su procedencia de DALNET. Es de destacar no obstante
que el directorio de inicio para los FSERVE se establece en c:\mirc, lo
cual es poco recomendable (ahí podrían encontrarse ficheros
.LOG con passwords y otros datos confidenciales), y que la configuración
del IDENTD y el DCCSERVER dejan al usuario expuesto al bloqueo de la conexión
a través del "nuke-port", el principal bug de la versión
5.31 del mIRC.
En conclusión, tras un primer examen se trata de un virus-script especialmente peligroso a causa de la alteración del principal fichero de configuración del mIRC, y de que no es posible establecer el resto de los posibles efectos a causa de su formato binario. Es posible incluso que realice accesos al sistema a muy bajo nivel con resultados imprevisibles en este momento.
Como prevenirlo y eliminarlo:
Las medidas de prevención
a aplicar son las mismas que se detallan en el apartado anterior, especialmente
no aceptar automáticamente envíos DCC. Su recepción
en un directorio específico y separado no es, por lo que aún
sé, garantía de seguridad, por lo que le recomiendo que jamás
acepte este fichero, o que si lo hace lo elimine o remembre de inmediato.
En caso de infección,
y en tanto no conozcamos más sobre sus efectos, siga los siguientes
pasos:
Cierre todos los programas
en ejecución.
Localice y borre todos los ficheros con el nombre DMSETUP.EXE que se encuentren en su sistema (preste especial atención al directorio c:\windows y a c:\mirc).
Borre el directorio c:\mirc.
Examine los ficheros "autoexec.bat" y "config.sys", si tiene dudas sustitúyalos por copias de seguridad.
Reinicie el equipo.
Reinstale el mIRC.
Si continúa observando irregularidades, lo que no veo probable, no dude en reinstalar el sistema operativo.