Nombre:TR/VB.asp
Descubierto:13/09/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:122.888 Bytes
Suma de control MD5:a098d5775d734e760d25f449dba5768d
Versión del VDF:6.35.01.218
Versión del IVDF:6.35.01.222

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.VB.asp
   •  F-Secure: Trojan.Win32.VB.asp
   •  Sophos: Troj/VB-CRY
   •  VirusBuster: Trojan.VB.YAZ
   •  Eset: Win32/VB.ASP
   •  Bitdefender: Trojan.VB.ASP


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\SMHOST.exe
   • %SYSDIR%\WLOGON.exe
   • %directorio actual%\%ficheros ejecutados%

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RPCall"="%SYSDIR%\SMHOST.EXE /register"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run]
   • "System handler"="%SYSDIR%\WLOGON.EXE /register"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "ReportBootOk"="1"
   • "Shell"="Explorer.exe"
   • "System"=""
   • "Userinit"="%SYSDIR%\userinit.exe,"
   • "SFCDisable"=dword:00000000
   • "SFCScan"=%configuración definida por el usuario%
   Nuevo valor:
   • "ReportBootOk"="0"
   • "Shell"="explorer.exe %SYSDIR%\SMHOST.EXE"
   • "System"="%SYSDIR%\SMHOST.EXE"
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\WLOGON.EXE, "
   • "SFCDisable"=dword:ffffff9d
   • "SFCScan"=dword:00000000

– [HKCU\Software\Microsoft\Command Processor]
   Valor anterior:
   • "EnableExtensions"=dword:00000001
   • "AutoRun"=%configuración definida por el usuario%
   Nuevo valor:
   • "EnableExtensions"=dword:00000000
   • "AutoRun"="echo off|%SYSDIR%\WLOGON.EXE|cls"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "load"=%configuración definida por el usuario%
   Nuevo valor:
   • "load"="%SYSDIR%\SMHOST.EXE"

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%configuración definida por el usuario%
   • "HideFileExt"=%configuración definida por el usuario%
   • "ShowSuperHidden"=%configuración definida por el usuario%
   Nuevo valor:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "FullPath"=%configuración definida por el usuario%
   • "FullPathAddress"=%configuración definida por el usuario%
   Nuevo valor:
   • "FullPath"=dword:00000001
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   SystemFileProtection]
   Valor anterior:
   • "ShowPopups"=%configuración definida por el usuario%
   Nuevo valor:
   • "ShowPopups"=dword:00000000

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Adriana Popa el viernes 10 de noviembre de 2006
Descripción actualizada por Adriana Popa el viernes 10 de noviembre de 2006

Volver . . . .