¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:VBS/Drop.Bifrose
Descubierto:08/05/2009
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:No
Tamao:159.364 Bytes
Suma de control MD5:cdfe8adc8ae35bf9af057b22047541bf
Versin del VDF:7.01.03.171
Versin del IVDF:7.01.03.173 - viernes 8 de mayo de 2009

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Mcafee: VBS/Autorun.worm.k
   •  Kaspersky: Worm.VBS.Autorun.ek
   •  Eset: VBS/AutoRun.BX


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta un fichero daino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\winjpg.jpg
   • %all drives%\winfile.jpg



Crea los siguientes ficheros:

%all drives%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [autorun]
     shellexecute=Wscript.exe /e:vbs winfile.jpg

%SYSDIR%\winxp.exe Adems, el fichero es ejecutado despus de haber sido creado. Detectado como: TR/Dropper.Gen

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • regdiit="%SYSDIR%\winxp.exe"
   • CTFMON="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • winboot=-
   • MS32DLL=-



Aade las siguientes claves al registro:

[HKCR\Vbsfile\DefaultIcon]
   • (Default)="%PROGRAM FILES%\Windows Media Player\wmplayer.exe,-120"

[HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   • LimitSystemRestoreCheckpointing=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • DisableSR=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center]
   • AntiVirusOverride=dword:00000001

[HKCR\exefile\shell\Scan for virus,s\command]
   • (Default)="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

[HKCR\exefile\shell\Open application\command]
   • (Default)="%SYSDIR%\winxp.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MSConfig.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\procexp.exe]
   • Debugger="\winxp.exe"

[HKCU\Software\Microsoft\Windows Scripting Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000

[HKLM\Software\Microsoft\Windows Script Host\Settings]
   • Enabled=dword:00000001

[HKCU\Software\Microsoft\Windows Script Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000



Modifica las siguientes claves del registro:

Varias opciones de configuracin en Explorer:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • CheckedValue=dword:00000000

Varias opciones de configuracin en Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • SuperHidden=dword:00000001
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000000

Varias opciones de configuracin en Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • NoDriveTypeAutoRun=dword:00000000

HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   Nuevo valor:
   • Start=dword:00000004

[HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Nuevo valor:
   • Start=dword:00000004

[HKCR\VBSFile]
   Nuevo valor:
   • FriendlyTypeName="MP3 Audio"

[HKCR\mp3file]
   Nuevo valor:
   • FriendlyTypeName="Good Songs"

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Ana Maria Niculescu el martes 12 de mayo de 2009
Descripción actualizada por Ana Maria Niculescu el viernes 17 de julio de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.