Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 10 de Mayo de 2007, 08:03:34 pm

Título: VB.FW. Gusano que se propaga por unidades removibles
Publicado por: Danae en 10 de Mayo de 2007, 08:03:34 pm

VB.FW. Gusano que se propaga por unidades removibles

Nombre: VB.FW
Nombre NOD32: Win32/VB.FW
Tipo: Gusano
Alias: VB.FW, W32.Solow, W32/Archiles.worm,
W32/Generic.worm.h, W32/SillyFD-AA, W32/Sillyworm.WR,
W32/Sillyworm.WR, W32/VB.FW!worm, W32/VB.UT.worm,
W32/VBWorm.NFE, Win32.Worm.VB.CQ, Win32/VB.FW, Worm.VB.akc,
Worm.Win32.VB.fw, Worm/VB.AZI, Worm/VB.CQ.2, WORM_VB.CNG
Actualizado: 19/abr/07
Plataforma: Windows 32-bit
Tamaño: 90,112 bytes

Gusano que se propaga a través de unidades de almacenamiento removibles (disquetes, memorias USB, etc.).

Puede ser descargado sin el conocimiento del usuario de algunos sitios de Internet, redes P2P o por otros malwares.

El gusano intenta crear los siguientes archivos ocultos en las unidades removibles para autoejecutarse cada vez que una de ellas es insertada:

  \autorun.inf
  \handydriver.exe

También crea las siguientes copias de si mismo (note que algunos archivos se llaman igual a los de programas legítimos de Windows, pero en carpetas diferentes o con pequeñas modificaciones en los nombres):

  ?:\kerneldrive.exe
  c:\windows\regedit.exe
  c:\windows\pchealth\helpctr\Binaries\msconfig.exe
  c:\windows\system32\systeminit.exe
  c:\windows\system32\wininit.exe
  c:\windows\system32\winsystem.exe
  c:\windows\system32\cmd.exe
  c:\windows\system32\taskmgr.exe

También crea el siguiente archivo:

  ?:\autorun.inf

Donde "?:" es cada unidad de disco encontrada en el equipo.

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  Userinit = "c:\windows\system32\userinit.exe,
  c:\windows\system32\systeminit.exe,"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Wininit = "c:\windows\system32\wininit.exe"

Las siguientes entradas también son creadas o modificadas, algunas de ellas para desactivar algunas herramientas de Windows como el Editor del Registro y el administrador de Tareas de Windows, otras como para eliminar la entrada Opciones de carpetas del menú de herramientas del Explorador de Windows y del Panel de Control, y para esconder los archivos con atributos de sistema y sus extensiones, todo ello con la intención de dificultar su detección:

  HKCU\Software\Microsoft
  nFlag = "1"

  HKCU\Software\Microsoft
  ServicePack = "1.2"

  HKCU\Software\Microsoft\Internet Explorer\Main
  Window Title = "Hacked by 1BYTE"

  HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
  SearchHidden = "0"

  HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
  SearchSystemDirs = "0"

  HKCU\Software\Microsoft\Windows
  \CurrentVersion\Explorer\Advanced
  Hidden = "1"

  HKCU\Software\Microsoft\Windows\CurrentVersion
  \Explorer\Advanced
  HideFileExt = "1"

  HKCU\Software\Microsoft\Windows\CurrentVersion
  \Explorer\Advanced
  ShowSuperHidden = "0"

  HKCU\Software\Microsoft\Windows\CurrentVersion
  \Explorer\Advanced
  SuperHidden = "1"

  HKCU\Software\Microsoft\Windows\CurrentVersion
  \Policies\Explorer
  NoFolderOptions = "1"

  HKCU\Software\Microsoft\Windows\CurrentVersion
  \Policies\Explorer
  NoDriveTypeAutoRun = "0"

  HKCU\Software\Microsoft\Windows\CurrentVersion
  \Policies\System
  DisableRegedit = "1"

  HKCU\Software\Microsoft\Windows\CurrentVersion
  \Policies\System
  DisableRegistryTools = "1"

  HKCU\Software\Microsoft\Windows\CurrentVersion
  \Policies\System
  DisableTaskMgr = "1"

  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
  Start = "1"

Fuente: Más información (http://www.vsantivirus.com/vb-fw.htm)