Nombre:Worm/Agent.184320
Descubierto:10/10/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:298.528 Bytes
Suma de control MD5:8a1b5f56799b7bcc1751055e93c933a8
Versión del VDF:6.36.01.54
Versión del IVDF:6.36.01.57 - lunes 20 de noviembre de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Virus.Win32.VB.bp
   •  TrendMicro: WORM_VB.BOE
   •  Sophos: W32/Rungbu-B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Modificaciones en el registro


Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • C:\lsass.exe
   • %SYSDIR%\dllhost.com
   • %WINDIR%\setup\dllhost.com
   • %HOME%\My Documents\Rated R Pictures.com
   • %WINDIR%\lsass.exe.exe
   • %WINDIR%\AutoRun.ini
   • %WINDIR%\MsWord.exe
   • %PROGRAM FILES%\philconst.exe
   • %WINDIR%\Downloaded Program Files\philconst.exe
   • %archivo eliminado%.scr



Crea la siguiente carpeta:
   • %HOME%\My Documents\Rated R Pictures



Elimina los ficheros que contienen una de las siguientes subseries de caracteres
   • .doc
   • .rtf



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %malware executiondirectory%\%ficheros ejecutados%.doc
   • %WINDIR%\OUTSETTN.REG

%PROGRAM FILES%\microsoft frontpage\outlook.vbs Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: HEUR/Worm.Outlook.VBS

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run
   • @="%SYSDIR%\dllhost.com"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • @="\lsass.exe"
   • "WinRun"="%WINDIR%\AutoRun.ini"



Añade las siguientes claves al registro:

– HKCR\datfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– KEY_CLASSES_ROOT\artfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\piffile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\AVIFile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\exefile
   • "NeverShowExt"=""

– HKCR\scrfile
   • @="Microsoft Word Document"
   • "NeverShowExt"=""

– HKCR\batfile
   • "NeverShowExt"=""

– HKCR\comfile
   • @="File Folder"

– HKCR\comfile\DefaultIcon
   • @=%SystemRoot%\System32\shell32.dll,3

– HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\MSCrusher
   • "command"="shutdown -s -f -t 0"
   • "hkey"="HKCR"
   • "inimapping"="0"
   • "item"="Shutdowm"
   • "key"="batfile\\shell\\edit\\command"

– HKLM\SOFTWARE\Microsoft\Windows\System\DarkAngel
   • "Expiration-Bug"="3011"

– HKCR\batfile\shell\edit\command
   • @="shutdown -s -f -t 0"

– HKCR\inifile\shell\open\command
   • @="%1" %*"

– HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
   • "ActiveTimeBias"=dword:ffffff88



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
   Valor anterior:
   • "NoFolderOptions"=dword:00000000
   • "NoRun"=dword:00000000
   Nuevo valor:
   • "NoFolderOptions"=dword:00000001
   • "NoRun"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt
   Nuevo valor:
   • "CheckedValue"=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableRegistryTools"=dword:00000000
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

 Correo electrónico De:
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El siguiente:
   • Read my letter for you



El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • this was created from the deep inside my heart.


Archivo adjunto:

El archivo adjunto es una copia del propio programa malicioso.

 Finalización de los procesos Listado de los procesos finalizados:
   • explorer.exe; avgctrl.exe; avgamsvr.exe; avgserv.exe; avginet.exe;
      avgupsvc.exe; avgemc.exe; avgnt.exe; avgregcl.exe; avgserv9.exe;
      avgw.exe; alogserv.exe; avsynmgr.exe; Mpfsheild.exe; MpfAgent.exe;
      mpf.exe; MpfConsole.exe; mcagent.exe; mcappins.exe; McDash.exe;
      mcdetect.exe; mcinfo.exe; mcmnhdlr.exe; mcshield.exe; mctskshd.exe;
      mcupdate.exe; mcvsescn.exe; mcvsshld.exe; mcvsftsn.exe; mcvsrte.exe;
      vstskmgr.exe; vsmain.exe; vshwin32.exe; pccpfw.exe; pccclient.exe;
      pcclient.exe; pccguide.exe; pccnt.exe; pccntmon.exe; pccntupd.exe;
      PcCtlCom.exe; pcscan.exe; avpm.exe; avpcc.exe; kav.exe; kavmm.exe;
      kavsvc.exe; AVENGINE.EXE; nisserv.exe; NISUM.exe; Navapsvc.exe;
      NMain.exe; Navapw32.exe; VetMsg.exe; VetTray.exe; Vet32.exe;
      VetNT.exe; vsmon.exe; zlclient.exe; zapro.exe; zonealarm.exe;
      APVXDWIN.EXE; AVLITE.EXE; AVLTMAIN.EXE; AVTASK.EXE; LUPGCONF.EXE;
      PAVSRV51.EXE; PavPrSrv.exe


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Bogdan Iliuta el miércoles 8 de noviembre de 2006
Descripción actualizada por Bogdan Iliuta el miércoles 22 de noviembre de 2006

Volver . . . .