Dotex

DOTEX gusano de Internet infecta la raíz de todas las unidades de disco del sistema deshabilita antivirus.

W32/Dotex

Dotex es un gusano residente en memoria reportado el 30 de Mayo del 2007 que se propaga a través de servicios de Internet e infecta la raíz de todas las unidades de disco y desahibilita antivirus, sofware de control y seguridad.

Intenta descargar archivos con códigos malignos desde una dirección web ubicada en Korea.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está programado en Assembler con 29KB de extensión.

Al activarse copia los siguientes archivos con atributo de "oculto" en todas las unidades de disco:

[Unidad_de_disco]:\.exe
[Unidad_de_disco]:\autorun.inf

libera y copia a la carpeta %System% el archivo .exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Default" = "%System%\.exe"

Para bloquear el Escritorio de Windows modifica la siguiente sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun" = "0x00000091"

Al siguiente inicio del equipo, con una extensa relación de llaves de registro, el gusano deshabilita los siguientes antivirus, sofware de control y de seguridad:

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
EGHOST.exe
FileDsty.exe
FTCleanerShell.exe
FYFireWall.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
Navapsvc.exe
Navapw32.exe
nod32.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQDoctor.exe
QQKav.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
rfwmain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
upiea.exe
UpLive.exe
vsstat.exe
webscanx.exe
WoptiClean.exe

Finalmente el gusano intenta descargar archivos con códigos malignos desde la siguiente dirección web ubicada en Korea:

http://www.webweb.com/[Censurado]

PER ANTIVIRUS® versión 10.1 con registro de virus al 30 de Mayo del 2007 detecta y elimina eficientemente este gusano.