Nombre:TR/VB.aei
Descubierto:02/03/2007
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:No
Tamaño:~40.960 Bytes
Versión del IVDF:6.37.01.186 - viernes 2 de marzo de 2007

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Symantec: W32.SillyFDC
   •  Mcafee: W32/Pitin.worm virus
   •  Kaspersky: Virus.Win32.VB.dg
   •  F-Secure: Virus.Win32.VB.dg
   •  Sophos: W32/Baysur-B
   •  Panda: Trj/Yabarasu.A
   •  Grisoft: Worm/VB.ASG
   •  Eset: Win32/VB.DG virus
   •  Bitdefender: Trojan.Genlot.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %disquetera%\%todos los subdirectorios% .scr



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %directorio donde se ejecuta el programa viral%\Autoexec.bat
   • %disquetera%\Thumbs .db

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

 Registro Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="%serie de caracteres aleatorios% - Surabaya"
   • "LegalNoticeText"="Surabaya in my birthday Don't kill me, i'm just send message from your computer %serie de caracteres aleatorios%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   • "CheckedValue"=dword:00000002
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   • "CheckedValue"=dword:00000001
   • "UncheckedValue"=dword:00000001
   • "DefaultValue"=dword:00000001

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Thomas Wegele el martes 2 de septiembre de 2008
Descripción actualizada por Thomas Wegele el martes 2 de septiembre de 2008

Volver . . . .