W32/Spy.VB.EA. Borra documentos de Microsoft WordNombre: W32/Spy.VB.EA
Nombre NOD32: Win32/Spy.VB.EA
Tipo: Gusano de Internet
Alias: Spy.VB.EA, Trojan-Spy.Win32.VB.dz, W32.SillyFDC, W32/Hilin.worm, W32/SillyFDC, Win32/Spy.VB.EA, Win32/Spy.VB.EA
Fecha: 27/dic/04
Plataforma: Windows 32-bit
Tamaño: 32,768 bytes
Gusano escrito en Visual Basic que se copia a si mismo a todas las unidades de red mapeadas. Posee características de troyano, capturando la salida del teclado.
El gusano utiliza el icono de los documentos de Microsoft Word.
Cuando se ejecuta, busca otros documentos de Word en el disco local y en todas las unidades mapeadas de red, y los borra, reemplazándolos por una copia de si mismo con el mismo nombre y la extensión .EXE.
Por ejemplo, si encuentra un archivo DOCUMENTO.DOC lo borra, y se copia el mismo como DOCUMENTO.EXE.
El gusano también se copia con el siguiente nombre en la carpeta del sistema de Windows:
c:\windows\system32\order.exe
Luego, agrega la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Policies\EXPLORER\RUN
OFFICE = c:\windows\system32\order.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Reparación manualIMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos .DOC borrados, dependerá del daño causado por el gusano desde el momento de ocurrida la infección, hasta el momento de su detección.
Más información
http://www.vsantivirus.com/spy-vb-ea.htm
