Nombre:Worm/VB.BV.4
Descubierto:12/03/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:93.612 Bytes
Suma de control MD5:0Bdddbd11165827f0C0A86b578ce5bef
Versión del VDF:6.38.00.39
Versión del IVDF:6.38.00.40 - lunes 12 de marzo de 2007

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Mcafee: W32/USBCasv
   •  Kaspersky: Worm.Win32.VB.fp
   •  F-Secure: Worm.Win32.VB.fp
   •  Eset: Win32/VB.FP
   •  Bitdefender: Worm.Win32.VB.BV


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %disquetera%:\Recycled\INFO.EXE


Archivar
Crea archivos y guarda un fichero dentro.

El directorio siguiente es buscado:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Se presta atención al siguiente tipo de fichero:
   • .log

El nombre de fichero del archivo es el siguiente:
   • %fecha actual%_%tiempo actual%.uda



Copia los siguientes ficheros:
    •  %todas las carpetas%\*.doc en %WINDIR%\Microsoft.NET\Debug\Temp\%serie de caracteres aleatorios%.log
    •  %todas las carpetas%\*.xls en %WINDIR%\Microsoft.NET\Debug\Temp\%serie de caracteres aleatorios%.log
    •  %todas las carpetas%\*ppt en %WINDIR%\Microsoft.NET\Debug\Temp\%serie de caracteres aleatorios%.log



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %SYSDIR%\Recycled\desktop.ini
   • %disquetera%:\Recycled\desktop.ini

%SYSDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%disquetera%:\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%WINDIR%\uda.exe

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


El diseño del mensaje de correo:



De: esmtp01@tom.com
A: esmtp01@tom.com
Asunto: Spider%número%[%nombre del ordenador%\%nombre del usuario actual%]
Adjunto:
   • current date%_%tiempo actual%.uda

El archivo adjunto es una copia del fichero creado: %WINDIR%\Microsoft.NET\Debug\Temp\%fecha actual%_%tiempo actual%.uda

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Diaconescu el miércoles 30 de julio de 2008
Descripción actualizada por Andrei Gherman el jueves 31 de julio de 2008

Volver . . . .