Nombre:Worm/Fontra.C
Descubierto:09/02/2007
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:No
Tamaño:~400.000 Bytes
Versión del VDF:6.37.01.61 - viernes 9 de febrero de 2007
Versión del IVDF:6.37.01.61 - viernes 9 de febrero de 2007

 General Método de propagación:
   • Peer to Peer


Alias:
   •  Mcafee: W32/Vbbot
   •  Kaspersky: Virus.Win32.Fontra.c
   •  F-Secure: Virus.Win32.Fontra.c
   •  Sophos: W32/Fontra-F
   •  Grisoft: Worm/Delf.ATB
   •  Eset: Win32/VB.NJQ

Identificado anteriormente como:
   •  TR/Dldr.Fontra.C.1


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Suelta un fichero dañino


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\dllhost.exe
   • %PROGRAM FILES%\setup.exe
   • %PROGRAM FILES%\Track_03.exe
   • %PROGRAM FILES%\Video.exe



Se copia a sí mismo en un archivo en las siguientes ubicaciones:
   • %PROGRAM FILES%\a.zip
   • %PROGRAM FILES%\b.zip
   • %PROGRAM FILES%\c.zip



Crea las siguientes carpetas:
   • %directorio compartido de BearShare%\_
   • %directorio compartido de Limewire%\_
   • %fichero compartido por Morpheus% \_
   • %Fichero compartido de Shareaza%\_



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %PROGRAM FILES%\A.ico
   • %PROGRAM FILES%\B.ico
   • %SYSDIR%\vbzip10.dll

%PROGRAM FILES%\uy.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Fontra.C.2




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\bearshare\bearshare.exe


– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\limewire\limewire.exe


– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\morpheus\morpheus.exe


– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\shareaza\shareaza.exe

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca los siguientes directorios:
   • %directorio compartido de BearShare%\_
   • %directorio compartido de Limewire%\_
   • %fichero compartido por Morpheus% \_
   • %Fichero compartido de Shareaza%\_

   Al tener éxito, crea el siguiente fichero:
   • %serie de caracteres aleatorios%.zip

   El archivo contiene una copia del programa malicioso.



La carpeta compartida puede verse así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Andrei Gherman el miércoles 28 de marzo de 2007
Descripción actualizada por Andrei Gherman el miércoles 28 de marzo de 2007

Volver . . . .