Nombre:TR/Vb.akv
Descubierto:18/05/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:188.416 Bytes
Suma de control MD5:fdd2e621aca76fd503535376e4063118
Versión del VDF:6.34.01.99
Versión del IVDF:6.34.01.101 - jueves 18 de mayo de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.VB.akz
   •  F-Secure: Trojan.Win32.VB.akz
   •  Eset: Win32/VB.AKZ
   •  Bitdefender: Trojan.Vb.AKZ


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta un fichero
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\jjakarta.exe
   • %HOME%\My Documents\ttrans.exe
   • %SYSDIR%\ooke.exe
   • %directorio actual%\%nombre del directorio actual%.exe



Elimina los siguientes ficheros:
   • %directorio actual%\*.exe
   • %directorio actual%\*.txt
   • %directorio actual%\*.com
   • %directorio actual%\*.reg
   • %directorio actual%\*.inf
   • %directorio actual%\*.rar



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %TEMPDIR%\~%número hexadecimal%.tmp

– %HOME%\My Documents\Baca.html

 Registro Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\MS Setup (ACME)]
– [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]
   • "DefCompany"="Terima kasih kepada Vaksin.Com"
   • "DefName"="Terima kasih kepada Vaksin.Com"



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "FullPath"=%configuración definida por el usuario%
   Nuevo valor:
   • "FullPath"=dword:00000001

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "FullPath"=%configuración definida por el usuario%
   Nuevo valor:
   • "FullPath"=dword:00000001

– [HKCR\Directory]
   Valor anterior:
   • "InfoTip"="prop:DocComments"
   Nuevo valor:
   • "InfoTip"=""
   • "TileInfo"=""

– [HKCR\Directory\DefaultIcon]
   Valor anterior:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Nuevo valor:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\Folder]
   Valor anterior:
   • "TileInfo"="prop:Size"
   Nuevo valor:
   • "TileInfo"=""
   • "InfoTip"=""

– [HKCR\Folder\DefaultIcon]
   Valor anterior:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Nuevo valor:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\exefile]
   Valor anterior:
   • @="Application"
   • "TileInfo"="prop:FileDescription;Company;FileVersion"
   • "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
   Nuevo valor:
   • @="File Folder"
   • "TileInfo"=""
   • "InfoTip"=""
   • "NeverShowExt"=""

– [HKCR\txtfile\shell\open\command]
   Valor anterior:
   • @="%SystemRoot%\system32\NOTEPAD.EXE %1"
   Nuevo valor:
   • @="%SYSDIR%\OOKE.EXE %1"

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "HideFileExt"=%configuración definida por el usuario%
   • "ClassicViewState"=%configuración definida por el usuario%
   • "SuperHidden"=%configuración definida por el usuario%
   • "ShowSuperHidden"=%configuración definida por el usuario%
   Nuevo valor:
   • "HideFileExt"=dword:00000001
   • "ClassicViewState"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "HideFileExt"=%configuración definida por el usuario%
   • "SuperHidden"=%configuración definida por el usuario%
   • "ShowSuperHidden"=%configuración definida por el usuario%
   • "ClassicViewState"=%configuración definida por el usuario%
   Nuevo valor:
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000
   • "ClassicViewState"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "DisableCAD"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "AntiVirusDisableNotify"=%configuración definida por el usuario%
   • "FirewallDisableNotify"=%configuración definida por el usuario%
   • "UpdatesDisableNotify"=%configuración definida por el usuario%
   • "AntiVirusOverride"=%configuración definida por el usuario%
   • "FirewallOverride"=%configuración definida por el usuario%
   Nuevo valor:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000

Desactivar Regedit y el Administrador de Tareas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Valor anterior:
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Valor anterior:
   • "RegisteredOrganization"=%configuración definida por el usuario%
   • "RegisteredOwner"=%configuración definida por el usuario%
   Nuevo valor:
   • "RegisteredOrganization"="Terima kasih kepada Vaksin.Com"
   • "RegisteredOwner"="Terima kasih kepada Vaksin.Com"

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
   Valor anterior:
   • "NoFind"=%configuración definida por el usuario%
   • "NoRun"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoFind"=%configuración definida por el usuario%
   • "NoRun"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="explorer.exe"
   Nuevo valor:
   • "Shell"="explorer.exe jjakarta.exe"

 Finalización de los procesos Han finalizado los procesos que contienen uno de los siguientes títulos de ventana:
   • windows task manager
   • search results


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Adriana Popa el viernes 24 de noviembre de 2006
Descripción actualizada por Adriana Popa el viernes 24 de noviembre de 2006

Volver . . . .