Nombre:TR/VB.abuo
Descubierto:23/02/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:651.264 Bytes
Suma de control MD5:274072bc83d87f4c0a797e5f0687420b
Versión del IVDF:7.10.04.133 - martes 23 de febrero de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Peer to Peer


Alias:
   •  Sophos: Mal/VBInject-D
   •  Panda: Adware/AccesMembre
   •  Eset: Win32/Merond.O
   •  Bitdefender: Trojan.VB.Agent.EB


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\javajar.exe
   • \RECYCLER\%CLSID%\redmond.exe



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\RECYCLER\%CLSID%\Desktop.ini
%SYSDIR%\jconsole.exe



Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\jconsole.exe"

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdaterv12"="%SYSDIR%\javajar.exe"



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\javajar.exe"="%SYSDIR%\javajar.exe:*:Enabled:Explorer"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "juseful1"=""
   • "juseful2"=""

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es uno de los siguientes:
   • e-cards@hallmark.com
   • invitations@hi5.com
   • invitations@twitter.com


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
Uno de los siguientes:
   • Jessica would like to be your friend on hi5!
   • You have received A Hallmark E-Card!
   • Your friend invited you to twitter!



El cuerpo del mensaje:
– Contiene código HTML.


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Invitation Card.zip
   • Postcard.zip

El adjunto es un archivo que contiene una copia del programa viral.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:   Extrae la carpeta compartida tras emplear la siguiente clave del registro:
   • Software\eMule

   Al tener éxito, crea los siguientes ficheros:
   • Sophos antivirus updater bypass.exe; Twitter FriendAdder 2.1.1.exe;
      Ashampoo Snap 3.02.exe; Divx Pro 7 + keymaker.exe; CleanMyPC Registry
      Cleaner v6.02.exe; PDF to Word Converter 3.0.exe; Adobe Photoshop CS4
      crack.exe; Grand Theft Auto IV (Offline Activation).exe; Rapidshare
      Auto Downloader 3.8.exe; VmWare keygen.exe;
      Winamp.Pro.v7.33.PowerPack.Portable+installer.exe; Mp3 Splitter and
      Joiner Pro v3.48.exe; Norton Anti-Virus 2010 Enterprise Crack.exe;
      Image Size Reducer Pro v1.0.1.exe; McAfee Total Protection 2010.exe;
      Alcohol 120 v1.9.7.exe; DVD Tools Nero 10.5.6.0.exe; Myspace theme
      collection.exe; Absolute Video Converter 6.2.exe; K-Lite Mega Codec
      v5.5.1.exe; BitDefender AntiVirus 2010 Keygen.exe; Ad-aware 2010.exe;
      Super Utilities Pro 2009 11.0.exe; Microsoft.Windows 7 ULTIMATE FINAL
      activator+keygen x86.exe; Magic Video Converter 8 0 2 18.exe; Nero 9
      9.2.6.0 keygen.exe; Power ISO v4.2 + keygen axxo.exe; Windows2008
      keygen and activator.exe; Total Commander7 license+keygen.exe; K-Lite
      Mega Codec v5.6.1 Portable.exe; Daemon Tools Pro 4.11.exe; Anti-Porn
      v13.5.12.29.exe; Tuneup Ultilities 2010.exe; LimeWire Pro v4.18.3.exe;
      Motorola, nokia, ericsson mobil phone tools.exe; WinRAR v3.x keygen
      RaZoR.exe; Trojan Killer v2.9.4173.exe; Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe; Windows XP
      PRO Corp SP3 valid-key generator.exe; Blaze DVD Player Pro v6.52.exe;
      PDF-XChange Pro.exe; YouTubeGet 5.4.exe; Norton Internet Security 2010
      crack.exe; Kaspersky AntiVirus 2010 crack.exe; Google SketchUp 7.1
      Pro.exe; PDF Unlocker v2.0.3.exe; Download Boost 2.0.exe; Avast 4.8
      Professional.exe; Adobe Acrobat Reader keygen.exe; VmWare 7.0
      keygen.exe; RapidShare Killer AIO 2010.exe; Internet Download Manager
      V5.exe; Youtube Music Downloader 1.0.exe; AnyDVD HD v.6.3.1.8 Beta
      incl crack.exe; Download Accelerator Plus v9.exe; G-Force Platinum
      v3.7.5.exe; Kaspersky Internet Security 2010 keygen.exe; PDF password
      remover (works with all acrobat reader).exe; Adobe Illustrator CS4
      crack.exe


 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://whatismyip.com/automation/n09230945.asp

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes 21 de mayo de 2010
Descripción actualizada por Petre Galan el viernes 21 de mayo de 2010

Volver . . . .