VírusVBS/Drop.Bifrose
Data em que surgiu:08/05/2009
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Não
Tamanho:159.364 Bytes
MD5 checksum:cdfe8adc8ae35bf9af057b22047541bf
Versão VDF:7.01.03.171
Versão IVDF:7.01.03.173 - sexta-feira, 8 de maio de 2009

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: VBS/Autorun.worm.k
   •  Kaspersky: Worm.VBS.Autorun.ek
   •  Eset: VBS/AutoRun.BX


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\winjpg.jpg
   • %all drives%\winfile.jpg



São criados os seguintes ficheiros:

– %all drives%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [autorun]
     shellexecute=Wscript.exe /e:vbs winfile.jpg

%SYSDIR%\winxp.exe Além disso executa-se depois de gerado. Detectado como: TR/Dropper.Gen

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • regdiit="%SYSDIR%\winxp.exe"
   • CTFMON="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"



Os valores da seguinte chave Registo são eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • winboot=-
   • MS32DLL=-



São adicionadas as seguintes chaves ao registo:

– [HKCR\Vbsfile\DefaultIcon]
   • (Default)="%PROGRAM FILES%\Windows Media Player\wmplayer.exe,-120"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   • LimitSystemRestoreCheckpointing=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • DisableSR=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   • AntiVirusOverride=dword:00000001

– [HKCR\exefile\shell\Scan for virus,s\command]
   • (Default)="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKCR\exefile\shell\Open application\command]
   • (Default)="%SYSDIR%\winxp.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MSConfig.exe]
   • Debugger="%SYSDIR%\wscript.exe /E:vbs %SYSDIR%\winjpg.jpg"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\procexp.exe]
   • Debugger="\winxp.exe"

– [HKCU\Software\Microsoft\Windows Scripting Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000

– [HKLM\Software\Microsoft\Windows Script Host\Settings]
   • Enabled=dword:00000001

– [HKCU\Software\Microsoft\Windows Script Host\Settings]
   • DisplayLogo=dword:00000000
   • Timeout=dword:00000000



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor recente:
   • CheckedValue=dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • SuperHidden=dword:00000001
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • NoDriveTypeAutoRun=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   Valor recente:
   • Start=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Valor recente:
   • Start=dword:00000004

– [HKCR\VBSFile]
   Valor recente:
   • FriendlyTypeName="MP3 Audio"

– [HKCR\mp3file]
   Valor recente:
   • FriendlyTypeName="Good Songs"

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Ana Maria Niculescu em terça-feira, 12 de maio de 2009
Descrição atualizada por Ana Maria Niculescu em sexta-feira, 17 de julho de 2009

Voltar . . . .