Nombre:Worm/VB.DU.10
Descubierto:08/08/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Bajo
Fichero estático:No
Tamaño:~55.000 Bytes
Suma de control MD5:166c0A98d40Cf7ceac4fdbd523ec751b
Versión del VDF:6.37.00.115
Versión del IVDF:6.37.00.119 - lunes, 8 de enero de 2007

 General Alias:
   •  Kaspersky: Worm.Win32.VB.du
   •  F-Secure: Worm.Win32.VB.du
   •  Sophos: W32/Rungbu-C
   •  Panda: W32/Rungbu.B.worm
   •  Grisoft: Worm/VB.BCN
   •  Eset: Win32/VB.NHV worm
   •  Bitdefender: Win32.Worm.Vb.DU


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros  Se copia a sí mismo a los lugares siguientes. Estos archivos tienen un número indeterminado de bytes adjuntos, de forma que pueden ser distintos al original:
   • %disquetera%\Recycled\SVCHOST.EXE
   • %disquetera%\Recycled\SPOOLSV.EXE
   • %disquetera%\Recycled\CTFMON.EXE
   • %disquetera%\Recycled\SMSS.EXE



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %directorio donde se ejecuta el programa viral%\%ficheros ejecutados%.!!!

%TEMPDIR%\Flu Burung.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • ==========================
     ======= FLU BURUNG =======
      |
     = Oleh-oleh dari AMBON =
     | Katong pung jua bisa
      |
     ==========================
     ==========================
     Stamp: 02 July 2006, dan.....
     "SELAMAT ULTAH KE-20 Agnes Monica!"
     Bugs Bunny say "What's up doc?"
     Duffy Duck say "I'm infected doc"
     So at the end of story they save the screen.
     PAJAK? Semua hal kena pajak!
     Barang mewah kena pajak, nabung di bank tiap bulan potong pajak,
     penghasilan kena pajak, sampai makanan pun kena pajak.
     Indonesia penuh dengan pajak! Tidak heran penuh pembajak.
     Orang bijak bayar pajak, takut pajak jadi pembajak.
     Cuma udara yang dihirup yang tidak kena pajak, namun sudah tercemar
     dengan asap dan polutan. "Tanya kenapa?"
     (Raven codename DIP "05062705056127019455")
     MSG (Monosodium Glutamat) merupakan penyebab kebodohan yang berakibat kemalasan.
     Pantas bangsa Indonesia tidak bisa maju karena bangsanya bodoh.
     Hampir semua produk makanan Indonesia menggunakan MSG.
     Pemerintah harus segera menghapuskan penggunaan MSG dipasaran!
     Mungkin karena para pejabat dan wakil rakyat otaknya juga sudah penuh dengan MSG,
     jadi tidak dapat berpikir dengan benar!
     Atau mereka terpilih karena terpintar diantara yang terbodoh,
     ataukah memang sengaja membodohkan bangsa agar dapat korupsi dangan leluasa?
     (Raven codename DIP "05062705056127019455")
     Flu burung, masa sich burungnya bisa flu? Tanya kenapa?
     Awas bahaya flu burung, bahaya lo? Bisa RIP tau?
     (RIP "Rest in Peace"/Constantine)
     Rupiah kebanyakan angka! (Okinawa)
     Dimana sebenarnya pemerintah ??????
     Pemerintah sekarang ini lebih memilih uang uang dan uang.
     Malahan sekarang lebih lebih untuk masalah pilkada pilkada dan pilkada.
     Kita sebagai mahasiswa dan masyarakat merasa terasingkan dari perhatian pemerintah.
     Tanya kenapa ????
     Lihat saja pengangguran banyak sekali!!!
     Sebenarnya siapa yang bisa ngomongin dengan pemerintah ?????
     Aku????? Ga mungin lagi.
     Tapi mudah-mudahan pemerintah sadar sendiri aja yaaa!!!
     Slamat Muaaach!!! (Dino Gitchu)
     Idiiih....! (Trader)

 Registro Elimina del registro de Windows los valores de la siguiente clave:

–  [HKCR\scrfile\shell\config\command]
–  [HKCR\scrfile\shell\config]
–  [HKCR\scrfile\shell\install\command]
–  [HKCR\scrfile\shell\install]


Modifica las siguientes claves del registro:

– [HKCR\Word.Document.8\DefaultIcon]
   Nuevo valor:
   • (Default)="%WINDIR%\Installer\{90280409-6000-11D3-8CFE-0050048383C9}\docicon.exe"

– [HKCR\scrfile]
   Nuevo valor:
   • (Default)="Microsoft Word Document"

– [HKCR\scrfile\shell\open]
   Nuevo valor:
   • (Default)="

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • Userinit="%papelera de reciclaje%\SVCHOST.exe,"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • Shell="Explorer.exe "%papelera de reciclaje%\SVCHOST.exe""

– [HKCR\*]
   Nuevo valor:
   • QuickTip="prop:Type;Size"
     TileInfo="prop:Type;Size"
     InfoTip="prop:Type;Write;Size"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Nuevo valor:
   • UncheckedValue=dword:00000001
     CheckedValue=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • HideFileExt=dword:00000001
     ShowSuperHidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Nuevo valor:
   • CheckedValue=dword:00000000
     UncheckedValue=dword:00000000

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASPack

Descripción insertada por Monica Ghitun el jueves, 8 de noviembre de 2007
Descripción actualizada por Monica Ghitun el viernes, 9 de noviembre de 2007

Volver . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos los derechos reservados.

Mi Cuenta

https:// Esta ventana está cifrada para su seguridad.