Descripción completa

Nombre:	BDS/VB.avf
Descubierto:	29/08/2006
Tipo:	Servidor Backdoor
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	48.188 Bytes
Suma de control MD5:	eecffebb81611d60d3c82748ac84433a
Versión del VDF:	6.35.00.107
Versión del IVDF:	6.35.00.133 - viernes 7 de julio de 2006

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Symantec: Infostealer.Lemir
   • Kaspersky: Backdoor.Win32.VB.avf
   • TrendMicro: BKDR_VB.SE
   • VirusBuster: Backdoor.VB.WOM
   • Bitdefender: Backdoor.VB.ARA

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\SMSS.EXE
   • %SYSDIR%\rundll32.com
   • %SYSDIR%\finder.com
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\finder.com
   • %WINDIR%\explorer.com
   • %WINDIR%\1.com
   • %WINDIR%\ExERoute.exe
   • %PROGRAM FILES%\Internet Explorer\iexplore.com
   • %SYSDIR%\command.pif
   • %PROGRAM FILES%\Common Files\iexplore.pif
   • D:\pagefile.pif

Crea los siguientes ficheros:

– %WINDIR%\BOOT.BIN.BAK
– D:\autorun.inf

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TProgram"="%WINDIR%\SMSS.EXE"

Añade las siguientes claves al registro:

– [HKCR\winfiles\DefaultIcon]
   • "(Default)"="%1"

– [HKCR\winfiles\Shell\Open\Command]
   • "(Default)"="%WINDIR%\ExERoute.exe "%1" %*"

Modifica las siguientes claves del registro:

– [HKCR\.lnk\ShellNew]
   Nuevo valor:
   • "command"="rundll32.com appwiz.cpl,NewLinkHere %1"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Check_Associations"="No"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe 1"

– [HKCR\.bfc\ShellNew]
   Nuevo valor:
   • "command"="%SystemRoot%\system32\rundll32.com %SystemRoot%\system32syncui.dll,Briefcase_Create %2!d! %1"

– [HKCR\cplfile\shell\cplopen\command]
   Nuevo valor:
   • "(Default)"="rundll32.com shell32.dll,Control_RunDLL %1,%*"

– [HKCR\dunfile\shell\open\command]
   Nuevo valor:
   • "(Default)"="%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

– [HKCR\htmlfile\shell\Print\command]
   Nuevo valor:
   • "(Default)"=""%PROGRAM FILES%\Microsoft Office\Office10\msohtmed.exe" /p %1"

– [HKCR\inffile\shell\Install\command]
   Nuevo valor:
   • "(Default)"="%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

– [HKCR\InternetShortcut\shell\open\command]
   Nuevo valor:
   • "(Default)"="finder.com shdocvw.dll,OpenURL %l"

– [HKCR\scrfile\shell\install\command]
   Nuevo valor:
   • "(Default)"="finder.com desk.cpl,InstallScreenSaver %l"

– [HKCR\scriptletfile\Shell\Generate Typelib\command]
   Nuevo valor:
   • "(Default)"=""%SYSDIR%\finder.com" %WINDIR%\System32scrobj.dll,GenerateTypeLib "%1""

– [HKCR\telnet\shell\open\command]
   Nuevo valor:
   • "(Default)"="finder.com url.dll,TelnetProtocolHandler %l"

– [HKCR\Unknown\shell\openas\command]
   Nuevo valor:
   • "(Default)"="%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

– [HKCR\htmlfile\shell\open\command]
   Nuevo valor:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Nuevo valor:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   Nuevo valor:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com""

– [HKCR\ftp\shell\open\command]
   Nuevo valor:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\htmlfile\shell\opennew\command]
   Nuevo valor:
   • "(Default)"=""%PROGRAM FILES%\Common Files\iexplore.pif" %1"

– [HKCR\http\shell\open\command]
   Nuevo valor:
   • "(Default)"=""%PROGRAM FILES%\Common Files\iexplore.pif" -nohome"

– [HKCR\Drive\shell\find\command]
   Nuevo valor:
   • "(Default)"="%SystemRoot%\explorer.com"

– [HKCR\.exe]
   Nuevo valor:
   • "(Default)"="winfiles"

Finalización de los procesos Listado de los procesos finalizados:
   • CCENTER%serie de caracteres aleatorios%; ASSISTSE%serie de
      caracteres aleatorios%; KPFW%serie de caracteres
      aleatorios%; AGENTSVR%serie de caracteres aleatorios%;
      KV%serie de caracteres aleatorios%; KREG%serie de caracteres
      aleatorios%; IEFIND%serie de caracteres aleatorios%;
      IPARMOR%serie de caracteres aleatorios%; SVI.EXE; UPHC%serie
      de caracteres aleatorios%; RULEWIZE%serie de caracteres
      aleatorios%; FYGT%serie de caracteres aleatorios%;
      RFWSRV%serie de caracteres aleatorios%; RFWMA%serie de
      caracteres aleatorios%

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Monica Ghitun el martes 29 de agosto de 2006
Descripción actualizada por Monica Ghitun el viernes 24 de noviembre de 2006

Volver . . . .