Nombre:Worm/VB.DW
Descubierto:16/02/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:210.432 Bytes
Suma de control MD5:b420a430d733a3a1d8b27e71f78590e1
Versión del VDF:6.33.01.01

 General Método de propagación:
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.VB.dw
   •  Bitdefender: Trojan.Dropper.G


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:





   %internet resource used by malware%:
   
   • www.torrentz.com
   • www.download.com
   • www.mininova.com

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %PROGRAM FILES%\outlook\outlook.exe
   • %PROGRAM FILES%\outlook\v.tmp



Se copia a sí mismo en un archivo en la siguiente ubicación:
   • %PROGRAM FILES%\outlook\p.zip



Sobrescribe los siguientes ficheros.
%SYSDIR%\netstat.exe
%SYSDIR%\ping.exe
%SYSDIR%\tracert.exe
%SYSDIR%\tasklist.exe
%SYSDIR%\taskkill.exe
%SYSDIR%\regedit.exe
%SYSDIR%\cmd.exe



Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\bszip.dll

%raíz de la partición del sistema%\onoes.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/RBot.174080




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\LimeWire\LimeWire.exe
   • %PROGRAM FILES%\Morpheus\morpheus.exe
   • %PROGRAM FILES%\Morpheus Ultra\morpheus.exe
   • %PROGRAM FILES%\BearShare\BearShare.exe
   • %PROGRAM FILES%\Shareaza\Shareaza.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • outlook = %PROGRAM FILES%\outlook\outlook.exe /auto

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca los siguientes directorios:
   • %directorio compartido de BearShare%
   • %directorio compartido de Limewire%
   • %fichero compartido por Morpheus%
   • %Directorio autorizado por parte de Morpheus Ultra%
   • %Fichero compartido de Shareaza%

   Al tener éxito, crea los siguientes ficheros:
   • %directorio compartido de BearShare%\Shared\%recogido del Internet%.zip
   • %directorio compartido de Limewire%\Shared\%recogido del Internet%.zip
   • %fichero compartido por Morpheus% \Shared\%recogido del Internet%.zip
   • %Directorio autorizado por parte de Morpheus Ultra%\Shared\%recogido del Internet%.zip
   • %Fichero compartido de Shareaza%\Shared\%recogido del Internet%.zip

   El archivo contiene una copia del programa malicioso.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Gherman el miércoles 12 de abril de 2006
Descripción actualizada por Andrei Gherman el miércoles 12 de abril de 2006

Volver . . . .