W32/VB.NBN. Se propaga por MSN Messengerhttp://www.vsantivirus.com/vb-nbn.htmNombre: W32/VB.NBN
Nombre NOD32: Win32/VB.NBN
Tipo: Gusano de Internet
Alias: VB.NBN, Kelvir.E, Backdoor.Ircbot.BY, Backdoor.Win32.IRCBot.Y, Backdoor.Win32.IRCBot.y, Backdoor.Win32.Wootbot.bb, IM-Worm.Win32.Bropia.n, IRC/BackDoor.SdBot.152.M, MSNSmall.A, NewHeur_PE, Trojan.Wootbot-183, W32.Kelvir.D, W32.Kelvir.E, W32/Bropia.AA.worm, W32/Bropia.AD.worm, W32/Bropia.L, W32/Bropia.O, W32/Bropia.X.worm, W32/Kelvir.F-net, W32/Kelvir.worm.f, W32/Rbot-WX, W32/Sdbot.worm.gen.h, Win32.Bropia.T, Win32.HLLW.Kelvin, Win32.HLLW.MyBot, Win32.Worm.Bropia.N, Win32/Bropia.5738!Worm, Win32/VB.NBN, Worm.Bropia.N-2, Worm/Bropia.N, Worm/IRCBot.36254, Worm/VB.4.S, WORM_RBOT.ASL
Fecha: 10/mar/05
Plataforma: Windows 32-bit
Tamaño: 5,738 bytes (Upack)
Gusano que se propaga por MSN Messenger a todos los contactos en línea. Este mecanismo requiere que el usuario tenga una sesión abierta del Messenger para que ello ocurra.
El gusano muestra un mensaje con el siguiente enlace para descargar un archivo:
http: //[dirección]/hottt.pif
El usuario que recibe y acepta este mensaje, debe pinchar en el enlace para descargar el archivo, que es el gusano propiamente dicho. El nombre de este archivo suele ser HOTTT.PIF, y en realidad se trata de un RAR autoextraíble.
Cuando se ejecuta (doble clic), libera los siguientes archivos en la carpeta actual:
Link.exe
buddie.exe
BUDDIE.EXE es un troyano del tipo BOT y LINK.EXE es una copia del propio gusano.
Después ejecuta a LINK.EXE. Este componente intenta enviar un mensaje similar al ya visto, con el propio gusano como archivo adjunto, a otros contactos en línea.
También copia a BUDDIE.EXE como LSASSX.EXE en la carpeta del sistema:
c:\windows\system32\lsassx.exe
Este archivo tendrá los atributos de oculto (+H), solo lectura (+R) y del sistema (+S)...
Mas información..
http://www.vsantivirus.com/vb-nbn.htm