Nombre:Worm/VB.CM.16
Descubierto:08/08/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:265.647 Bytes
Suma de control MD5:d446896360493dccba3463482ec11a4f
Versión del VDF:6.35.01.62 - martes 8 de agosto de 2006
Versión del IVDF:6.35.01.62 - martes 8 de agosto de 2006

 General Métodos de propagación:
   • Red local
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.VB.cm
   •  Bitdefender: Win32.Worm.VB.CE


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\ircbot.exe



Sobrescribe los siguientes ficheros.
– \\%ordenadores en el dominio corriente%\%Directorio de redes utilizado comunmente%\%todos los subdirectorios%\

Extensión del fichero:
   • exe

Con el siguiente contenido:
   • %ficheros ejecutados%




Copia los siguientes ficheros:
    •  \\%ordenadores en el dominio corriente%\%Directorio de redes utilizado comunmente%\%todos los subdirectorios%\*.exe en \\%ordenadores en el dominio corriente%\%Directorio de redes utilizado comunmente%\%todos los subdirectorios%\*.exe.bak



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\Mswinsck.ocx

%directorio donde se ejecuta el programa viral%\Kill.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\Lvcomx.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Drp.VB.CJ.4

%WINDIR%\infect.bat

 Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\ProductName\ProductID]

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca los siguientes directorios:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\LimeWire\Shared\
   • %PROGRAM FILES%\BearShare\Shared\
   • %PROGRAM FILES%\Morpheus\My Shared Folder\
   • %PROGRAM FILES%\Grokster\My Grokster\

   Extrae la carpeta compartida tras emplear la siguiente clave del registro:
   • HKLM\SOFTWARE\Kazaa\LocalContent\DownloadDir

   Al tener éxito, crea los siguientes ficheros:
   • VB6+Crack.zip.exe
   • (Hot)CamStrip.mpg.exe
   • TrojanScanPro.exe
   • (Hot)sex ,f**k ,a**l ,wet p***y ,f**ked hard ,de*****oat ,blo**ob ,phat a** ,a** f**k.mpg.exe
   • WoW - World of Warcraft FULL + crack.exe
   • Half Life 2 cd key generator + Crack.exe
   • Britney spears - In the zone FULL ALBUM.zip.exe
   • Windows Longhorn full + crack.exe
   • Jenna jameson hard d***y style s*x.avi.exe
   • TJenna jameson hard d***y style s*x.avi.exe

   Estos ficheros son copias del programa malicioso.

 IRC Propagación:
Intenta localizar la carpeta de instalación del mIRC. Busca mediante las siguientes rutas:
   • %raíz de la partición del sistema%\mirc
   • %raíz de la partición del sistema%\mirc32

– Crea un fichero llamado script.ini para difundir una copia suya mediante IRC.

 Informaciones diversas Conexión a Internet:

Hace interrogaciones para el nombre:
   • www.google.com

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Daniel Constantin el jueves 10 de agosto de 2006
Descripción actualizada por Daniel Constantin el lunes 14 de agosto de 2006

Volver . . . .