NUEVA VARIANTE DARBY.M DEL CONOCIDO BARDIEL DE GEDZACLABS

[msc hotline sat]

Una nueva variante del Barciel detectada por McAfee como Darby.M desde los DATS 4397 de ayer, ya ha llegado a españa.

Para ella hemos desarrollado la nueva version del ELIBARDI.EXE, que aparte de controlar anteriores versiones de este gusano, como el DARBY.A, detecta este gusano, detiene su proceso virico en memoris, restaura las claves del regustro modificadas por este virus y finalmente elimina los ficheros gusano correspondientes.


---v1.4---( 8 de Octubre del 2004) (para Bardiel.D, detectado por McAfee desde 4397 como "Darby.M")


Hay que añadir que este gusano deshanilita la edicion de registro, por lo que hasta que se restaura la correpsondiente clave, no es posible restaurar las claves modificadas, si bien con nuestra utilidad es lo primero que hacemos.

Pero si se ha eliminado el fichero gusano, quedan restringidas las ejecuciones de ficheros EXE: COM, BAT, REG; SCR y PIF, por lo que no es posible ejecutar ficheros con dichas extensiones, en cuyo caso disponemos de la utilidad ELIRESTR.VBS que en codigo Visual Basic restaura la edicion de registro asi como las claves de restriccion de ejecucion de dichas extensiones, con lo que si se ha eliminado el gusano sin restaurar las claves indicadas, se podrán corregor estas a posteriori, ejecutando dicha utilidad en VBS, que además no usa el REGEDIT para editar y modificar el registro de sistema.

y se recuerda el link de descarga de la ya conocida ELIRESTR.VBS:

http://www.zonavirus.com/descargas/elirestr.asp

saludos

ms, 8-10-2004