VB.FW. Gusano que se propaga por unidades removiblesNombre: VB.FW
Nombre NOD32: Win32/VB.FW
Tipo: Gusano
Alias: VB.FW, W32.Solow, W32/Archiles.worm,
W32/Generic.worm.h, W32/SillyFD-AA, W32/Sillyworm.WR,
W32/Sillyworm.WR, W32/VB.FW!worm, W32/VB.UT.worm,
W32/VBWorm.NFE, Win32.Worm.VB.CQ, Win32/VB.FW, Worm.VB.akc,
Worm.Win32.VB.fw, Worm/VB.AZI, Worm/VB.CQ.2, WORM_VB.CNG
Actualizado: 19/abr/07
Plataforma: Windows 32-bit
Tamaño: 90,112 bytes
Gusano que se propaga a través de unidades de almacenamiento removibles (disquetes, memorias USB, etc.).
Puede ser descargado sin el conocimiento del usuario de algunos sitios de Internet, redes P2P o por otros malwares.
El gusano intenta crear los siguientes archivos ocultos en las unidades removibles para autoejecutarse cada vez que una de ellas es insertada:
\autorun.inf
\handydriver.exe
También crea las siguientes copias de si mismo (note que algunos archivos se llaman igual a los de programas legítimos de Windows, pero en carpetas diferentes o con pequeñas modificaciones en los nombres):
?:\kerneldrive.exe
c:\windows\regedit.exe
c:\windows\pchealth\helpctr\Binaries\msconfig.exe
c:\windows\system32\systeminit.exe
c:\windows\system32\wininit.exe
c:\windows\system32\winsystem.exe
c:\windows\system32\cmd.exe
c:\windows\system32\taskmgr.exe
También crea el siguiente archivo:
?:\autorun.inf
Donde "?:" es cada unidad de disco encontrada en el equipo.
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = "c:\windows\system32\userinit.exe,
c:\windows\system32\systeminit.exe,"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wininit = "c:\windows\system32\wininit.exe"
Las siguientes entradas también son creadas o modificadas, algunas de ellas para desactivar algunas herramientas de Windows como el Editor del Registro y el administrador de Tareas de Windows, otras como para eliminar la entrada Opciones de carpetas del menú de herramientas del Explorador de Windows y del Panel de Control, y para esconder los archivos con atributos de sistema y sus extensiones, todo ello con la intención de dificultar su detección:
HKCU\Software\Microsoft
nFlag = "1"
HKCU\Software\Microsoft
ServicePack = "1.2"
HKCU\Software\Microsoft\Internet Explorer\Main
Window Title = "Hacked by 1BYTE"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchSystemDirs = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
HideFileExt = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
ShowSuperHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
SuperHidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoFolderOptions = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoDriveTypeAutoRun = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegedit = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableTaskMgr = "1"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "1"
Fuente: Más información
