Nombre:Worm/VB.bdy
Descubierto:27/03/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:40.960 Bytes
Suma de control MD5:d759464539422a77a9fb5bf0ac3a77c1
Versión del VDF:6.38.00.117
Versión del IVDF:6.38.00.120 - martes 27 de marzo de 2007

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Kaspersky: Virus.Win32.VB.dg
   •  F-Secure: Virus.Win32.VB.dg
   •  Grisoft: Worm/VB.AWV


Plataformas / Sistemas operativos:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %HOME%\START MENU\PROGRAMS\STARTUP\Adobe Online.com
   • %HOME%\START MENU\PROGRAMS\STARTUP\Adobe update.com
   • %directorio actual%\%todos los subdirectorios%.scr



Copia los siguientes ficheros:
    •  %directorio donde se ejecuta el programa viral%\Thumbs .db en %WINDIR%\Thumbs .db
    •  %directorio donde se ejecuta el programa viral%\Thumbs .db en c:\Thumbs .db



Crea el siguiente fichero:

– c:\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [Autorun]
     Open=Thumbs.com -a
     ShellExecute=Thumbs.com
     Shell\Auto\Command=Thumbs.com
     Shell=Auto
     
     [Definitions]
     Launchpad=Thumbs.com
     Vtype=1

 Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="81u3f4nt45y - 24.01.2007 - Surabaya"
   • "LegalNoticeText"="Surabaya in my birthday
   • Don't kill me, i'm just send message from your computer
   • Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
   • Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
   • Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal
   • Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0"



Modifica las siguientes claves del registro:

– [HKCR\scrfile]
   Nuevo valor:
   • @="File Folder"
     "InfoTip"=""
     "NeverShowExt"=""
     "TileInfo"=""

– [HKCR\scrfile\shell\config\command]
   Nuevo valor:
   • @="\"%1\""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Nuevo valor:
   • "CheckedValue"=dword:00000002
     "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:00000000
     "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Nuevo valor:
   • "CheckedValue"=dword:00000001
     "DefaultValue"=dword:00000001
     "UncheckedValue"=dword:00000001

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Gabriel Mustata el lunes 26 de marzo de 2007
Descripción actualizada por Gabriel Mustata el martes 27 de marzo de 2007

Volver . . . .