Bymer.a y Bymer.b
Bymer.a:
Se trata de un gusano PE EXE (aplicación Win32). Infecta a máquinas bajo Windows 9x con recursos compartidos sin contraseñas. El gusano se propaga seleccionando aleatoriamente direcciones IP e intentando conectarse a "C" de esa máquina. Si lo consigue, copiará varios ficheros en la máquina remota en \WINDOWS\SYSTEM.
-WININIT.EXE ~22016 bytes (cuerpo del gusano)
-DNETC.EXE 186188 bytes (cliente RC5 )
-DNETC.INI (arcivo INI de DNETC.EXE)
Además, como parte de la infección, la siguiente linea se copiará en el archivo \WINDOWS\WIN.INI:
-[windows]
-load=C:\WINDOWS\SYSTEM\WININIT.EXE
Después de reiniciar un ordenador infectado, WININIT.EXE ejecutará DNETC.EXE en modo oculto y continuará infectando otros ordenadores.
Bymer.b:
Se trata de un gusano PE EXE (aplicación Win32). Infecta a máquinas bajo Windows 9x con recursos compartidos sin contraseñas. El gusano se propaga seleccionando aleatoriamente direcciones IP e intentando conectarse a "C" de esa máquina. Si lo consigue, copiará varios ficheros en la máquina remota en \WINDOWS\SYSTEM.
-MSxxx.EXE ~22016 bytes (puede variar el tamaño y el nombre)
-MSCLIENT.EXE 4096 bytes
-INFO.DLL (fichero con ncidencias de otras máquinas infectadas)
-DNETC.EXE 186188 bytes (cliente RC5)
-DNETC.INI (ccontiene la dirección de correo electrónico bymer@inec.kiev.ua)
Además, como parte de la infección, la siguiente linea se copiará en el archivo \WINDOWS\WIN.INI:
-[windows]
-load=c:\windows\system\msxxx.exe
Una vez ejecutado el EXE, se añade la siguente linea al registro de Windows:
-[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
-MSINIT=c:\windows\system\msxxx.exe. (El nombre msxxx.exe puede ser distinto en cada ordenador)
Desinfección:
Para eliminar el virus, ejecute el escaner con la acción de preguntar que hacer y cuando el escaner le pregunte, indiquele que desinfecte, y si no puede, que lo elimine.
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
