Nombre:TR/Spy.VB.QU
Descubierto:13/03/2007
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:No
Tamaño:189.692 Bytes
Versión del IVDF:6.38.00.48 - martes 13 de marzo de 2007

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: W32.SillyFDC
   •  Mcafee: BackDoor-AKZ
   •  Kaspersky: Trojan-Spy.Win32.VB.qu
   •  TrendMicro: WORM_VB.CVY
   •  F-Secure: Trojan:W32/Agent.AHC
   •  Panda: Bck/Amitis.J
   •  Eset: Win32/Spy.VB.QU trojan
   •  Bitdefender: Trojan.Mailspam.J


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMPDIR%\31550.exe
   • %SYSDIR%\odbcasvc.exe


Archivar
Crea archivos y guarda un fichero dentro.

El directorio siguiente es buscado:
   • %APPDATA%\Microsoft\Office\Recent\

Se presta atención al siguiente tipo de fichero:
   • .doc

El nombre de fichero del archivo es el siguiente:
   • %TEMPDIR%\%fecha actual%_%tiempo actual%.uha



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %SYSDIR%\uha.exe
   • %SYSDIR%\mswinsck.ocx

– Ficheros temporales, que pueden ser eliminados después:
   • %TEMPDIR%\attachment%fecha actual%_%tiempo actual%.tmp
   • %TEMPDIR%\mail.tmp

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\odbcasvc.exe
   • "DisplayName"="ODBC Administration Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Microsoft Data Access - ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Security
   • Security"=%valores hex%

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Enum
   • "0"="Root\\LEGACY_ODBCASVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Añade las siguientes claves al registro:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000
   • "Service"="odbcasvc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="odbcasvc"



Modifica la siguiente clave del registro:

Varias opciones de configuración en Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Valor anterior:
   • "NoDriveTypeAutoRun"=dword:0000009d
   Nuevo valor:
   • "NoDriveTypeAutoRun"=dword:00000091

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
El remitente del mensaje de correo es el siguiente:
   • esmtp01@tom.com


Para:
El destinatario del mensaje es el siguiente:
   • esmtp01@tom.com


Asunto:
El siguiente:
   • Spider%número%[%nombre del ordenador%\%nombre del
      usuario actual%]



Archivo adjunto:
El nombre del fichero adjunto es:
   • %fecha actual%_%tiempo actual%.uha

El archivo adjunto es una copia del fichero creado: %TEMPDIR%\%fecha actual%_%tiempo actual%.uha

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Alexander Neth el viernes 25 de julio de 2008
Descripción actualizada por Andrei Gherman el viernes 1 de agosto de 2008

Volver . . . .