Nombre:VBS/Drop.Bifrose
Descubierto:08/05/2009
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:No
Tamaño:159.364 Bytes
Suma de control MD5:cdfe8adc8ae35bf9af057b22047541bf
Versión del VDF:7.01.03.171
Versión del IVDF:7.01.03.173 - viernes 8 de mayo de 2009

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: VBS/Autorun.worm.k
   •  Kaspersky: Worm.VBS.Autorun.ek
   •  Eset: VBS/AutoRun.BX


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\winjpg.jpg
   • %all drives%\winfile.jpg



Crea los siguientes ficheros:

– %all drives%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [autorun]
     shellexecute=Wscript.exe /e:vbs winfile.jpg

%SYSDIR%\winxp.exe Además, el fichero es ejecutado después de haber sido creado. Detectado como: TR/Dropper.Gen

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • regdiit="%SYSDIR%\winxp.exe"
   • CTFMON="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • winboot=-
   • MS32DLL=-



Añade las siguientes claves al registro:

– [HKCR\Vbsfile\DefaultIcon]
   • (Default)="%PROGRAM FILES%\Windows Media Player\wmplayer.exe,-120"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   • LimitSystemRestoreCheckpointing=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • DisableSR=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   • AntiVirusOverride=dword:00000001

– [HKCR\exefile\shell\Scan for virus,s\command]
   • (Default)="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKCR\exefile\shell\Open application\command]
   • (Default)="%SYSDIR%\winxp.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MSConfig.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\procexp.exe]
   • Debugger="\winxp.exe"

– [HKCU\Software\Microsoft\Windows Scripting Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000

– [HKLM\Software\Microsoft\Windows Script Host\Settings]
   • Enabled=dword:00000001

– [HKCU\Software\Microsoft\Windows Script Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • CheckedValue=dword:00000000

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • SuperHidden=dword:00000001
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000000

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • NoDriveTypeAutoRun=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   Nuevo valor:
   • Start=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Nuevo valor:
   • Start=dword:00000004

– [HKCR\VBSFile]
   Nuevo valor:
   • FriendlyTypeName="MP3 Audio"

– [HKCR\mp3file]
   Nuevo valor:
   • FriendlyTypeName="Good Songs"

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Ana Maria Niculescu el martes 12 de mayo de 2009
Descripción actualizada por Ana Maria Niculescu el viernes 17 de julio de 2009

Volver . . . .