¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/VB.BG
Descubierto:03/03/2004
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:131.116 Bytes
Suma de control MD5:e4a6af3171e95e337527bbffc1201382
Versin del VDF:6.24.00.39

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Virus.Win32.VB.bg
   •  F-Secure: Virus.Win32.VB.bg
   •  Grisoft: Worm/VB.ZU
   •  Eset: Win32/VB.DA


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • C:\mig2.exe
   • %WINDIR%\mig2.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • %disquetera%\Data %nombre del usuario actual%.exe
   • %directorio actual%\%nombre del directorio actual%.exe
   • %disquetera%\mig2\New Folder.exe



Crea la siguiente carpeta:
   • %disquetera%\mig2



Crea los siguientes ficheros:

C:\Untukmu.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Untukmu
     
     Apa yang aku lakukan tak akan kau rasakan
     Apa yang kau lakukan tak akan aku rasakan
     Benar-benar jauh, jarak kita
     Aku terpaksa,lakukan ini krana kau yang mengawali..
     
     Senyummu adalah sedihku
     Sedihmu adalah tawaku
     
     Tangisku bukan milikmu
     Tangismu adalah milikku
     
     masih ada lagi yang ku kejar saat ini
     saat,ini aku akan mulai mengejar yang lain
     Lepaskan Dendam dan tawaku saat ini
     JUST, 4u MIG - MIG

%WINDIR%\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
%disquetera%\mig2\Folder.htt
%disquetera%\desktop.ini

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%nombre del usuario actual%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mig2"="%WINDIR%\mig2.exe"
   • "Service%nombre del usuario actual%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

[HKCR\exefile]
   Valor anterior:
   • @="Application"
   Nuevo valor:
   • @="File Folder"

[HKCR\exefile\shell\open\command]
   Valor anterior:
   • @=""%1" %*"
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   Valor anterior:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   Nuevo valor:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Varias opciones de configuracin en Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%configuracin definida por el usuario%
   • "HideFileExt"=%configuracin definida por el usuario%
   • "ShowSuperHidden"=%configuracin definida por el usuario%
   Nuevo valor:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKCU\Control Panel\Desktop]
   Valor anterior:
   • "ScreenSaverIsSecure"="1"
   • "SCRNSAVE.EXE"=%configuracin definida por el usuario%
   Nuevo valor:
   • "ScreenSaverIsSecure"="0"
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Nuevo valor:
   • "AlternateShell"="%WINDIR%\mig2.exe"

[HKCR\lnkfile\shell\open\command]
   Valor anterior:
   • @=" "%1" %*"
   Nuevo valor:
   • @=" "%SYSDIR%\shell.exe" "%1" %*"

[HKCR\piffile\shell\open\command]
   Valor anterior:
   • @=""%1" %*"
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKCR\batfile\shell\open\command]
   Valor anterior:
   • @=""%1" %*"
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

[HKCR\comfile\shell\open\command]
   Valor anterior:
   • @=""%1" %*"
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

Desactivar Regedit y el Administrador de Tareas:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableCMD"=%configuracin definida por el usuario%
   • "DisableTaskMgr"=%configuracin definida por el usuario%
   • "DisableRegistryTools"=%configuracin definida por el usuario%
   Nuevo valor:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Varias opciones de configuracin en Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoFolderOptions"=%configuracin definida por el usuario%
   Nuevo valor:
   • "NoFolderOptions"=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valor anterior:
   • "DisableConfig"=%configuracin definida por el usuario%
   • "DisableSR"=%configuracin definida por el usuario%
   Nuevo valor:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   Nuevo valor:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Nuevo valor:
   • "FullPathAddress"=dword:00000001

 Finalizacin de los procesos Listado de los procesos finalizados:
   • regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
      ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
      nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
      Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe

Termina los procesos que contienen las siguientes series de caracteres:
   • ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
      REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
      KASPERSKY; VAKSIN; ANTI; VIRUS

Han finalizado los procesos que contienen uno de los siguientes ttulos de ventana:
   • RegEdit_RegEdit
   • Registry Editor
   • Folder Options
   • Local Settings


Desactiva el siguiente servicio:
   • System Restore

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Adriana Popa el martes 21 de noviembre de 2006
Descripción actualizada por Adriana Popa el jueves 23 de noviembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.