Worm/VB.BV.4 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/VB.BV.4
Descubierto:	12/03/2008
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	93.612 Bytes
Suma de control MD5:	0Bdddbd11165827f0C0A86b578ce5bef
Versión del VDF:	6.38.00.39
Versión del IVDF:	6.38.00.40

General Método de propagación:
   • Unidades de red mapeadas

Alias:
   • Mcafee: W32/USBCasv
   • Kaspersky: Worm.Win32.VB.fp
   • F-Secure: Worm.Win32.VB.fp
   • Eset: Win32/VB.FP
   • Bitdefender: Worm.Win32.VB.BV

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • :\Recycled\INFO.EXE

Archivar
Crea archivos y guarda un fichero dentro.

El directorio siguiente es buscado:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

Se presta atención al siguiente tipo de fichero:
   • .log

El nombre de fichero del archivo es el siguiente:
   • %fecha actual%_%tiempo actual%.uda

Copia los siguientes ficheros:
    • %todas las carpetas%\*.doc en %WINDIR%\Microsoft.NET\Debug\Temp\%serie de caracteres aleatorios%.log
    • %todas las carpetas%\*.xls en %WINDIR%\Microsoft.NET\Debug\Temp\%serie de caracteres aleatorios%.log
    • %todas las carpetas%\*ppt en %WINDIR%\Microsoft.NET\Debug\Temp\%serie de caracteres aleatorios%.log

Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %SYSDIR%\Recycled\desktop.ini
   • :\Recycled\desktop.ini

– %SYSDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– :\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– %WINDIR%\uda.exe

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:

El diseño del mensaje de correo:

De: esmtp01@tom.com
A: esmtp01@tom.com
Asunto: Spider%número%[%nombre del ordenador%\%nombre del usuario actual%]
Adjunto:
• current date%_%tiempo actual%.uda

El archivo adjunto es una copia del fichero creado: %WINDIR%\Microsoft.NET\Debug\Temp\%fecha actual%_%tiempo actual%.uda

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Irina Diaconescu el Wed, 30 Jul 2008 11:04 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 31 Jul 2008 11:41 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver