Nombre:Worm/VB.AT.1
Descubierto:03/08/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:12.288 Bytes
Suma de control MD5:85add335b75d9a6c44019f5ffdbf2b9a
Versión del VDF:6.31.01.54

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Symantec: W32.Cabreck
   •  Mcafee: W32/CableNet.worm
   •  Kaspersky: Worm.Win32.VB.at
   •  TrendMicro: WORM_CABRECK.A
   •  Sophos: W32/Cablenet-A
   •  Grisoft: Worm/VB.DR
   •  VirusBuster: Worm.Cablenet.A
   •  Eset: Win32/VB.NCN
   •  Bitdefender: Win32.Cablenet.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro

 Ficheros Añade una sección al fichero.
– Para: %WINDIR%\win.ini Con el siguiente contenido:
   • [CopyRight]
     Author= Gabe
     Name= Cable
     Origin= India
     Type= Netwreck Worm
     Credicts= [Cable] By Gabe (Gabe Roq's Inc.)
     Warning= Amazing things will happen, you just wait...
     Note= Your Death is comming...Anticipation afterall is everything!
     SignNote= Because Death is only the beginning...
     Quote= For those who believe no explanation is necessary, for those who don't nothing will suffice.




Crea el siguiente fichero:

%WINDIR%\Cable.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [CopyRight]
     Author= Gabe
     Name= Cable
     Origin= India
     Type= Netwreck Worm
     Credicts= [Cable] By Gabe (Gabe Roq's Inc.)
     Warning= Amazing things will happen, you just wait...
     Note= Your Death is comming...Anticipation afterall is everything!
     SignNote= Because Death is only the beginning...
     Quote= For those who believe no explanation is necessary, for those who don't nothing will suffice.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="Cable.exe"

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca los siguientes directorios:
   • %raíz de la partición del sistema%
   • c:\windows

Busca todas las carpetas compartidas en la red.

   Al tener éxito, crea los siguientes ficheros:
   • Cable.exe; FileCryptor.exe; Microsoft SP4.exe; Acrobat Reader.exe;
      Setup.exe; NAI Mcafee.exe; Norton AV.exe; PGP Free.exe; Password
      recovery.exe; KazzaP2P.exe; Download accelerator.exe; Linux
      Source.exe; Winzip.exe; Lotus app.exe; Netscape.exe; Money Manger.exe;
      Paypal.exe; FixMydoom.exe; BillSux.exe; MorpheusP2P.exe; E_donkey.exe;
      Calvin and Hobbes.exe

   Estos ficheros son copias del programa malicioso.



La carpeta compartida puede verse así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el martes 16 de mayo de 2006
Descripción actualizada por Irina Boldea el martes 16 de mayo de 2006

Volver . . . .