Nombre:Worm/VBNA.iby
Descubierto:26/09/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:No
Tamaño:45.056 Bytes
Versión del IVDF:7.01.06.41 - sábado 26 de septiembre de 2009

 General Método de propagación:
   • Autorun feature (es)


Alias:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-ARS
   •  Panda: W32/Vobfus.gen.worm
   •  Eset: Win32/AutoRun.VB.GE
   •  Bitdefender: Trojan.VB.Chinky.U


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %HOME%\riuom.exe
   • \riuom.exe
   • \riuom.scr



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\Documents.lnk Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\Music.lnk Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\New Folder.lnk Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\Pictures.lnk Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\Video.lnk Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\Passwords.lnk Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "riuom"="C:\Documents and Settings\Administrator\riuom.exe"



Modifica la siguiente clave del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "ShowSuperHidden"=dword:0x00000000

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • ns4.th**********.net:8000


 Inyectar el código viral en otros procesos – Inyecta en otro proceso una rutina de monitorización de procesos.

    Nombre del proceso:
   • %todos los procesos activos%


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Petre Galan el martes 16 de febrero de 2010
Descripción actualizada por Petre Galan el miércoles 17 de febrero de 2010

Volver . . . .