| W32/VB.ags |
|
| Nombre: |
W32/VB.ags Alias: W32.Cassel, Backdoor.Win32.VB.ags, W32/Backdoor.ARWR, W32/Tzhen.worm, Troj/Bckdr-QIU, BKDR_VB.DKI |
| Tipo: | Gusano |
| Tamaño: | 208,923 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1, Registro de Virus al 09/07/2007 |
Descripción
W32/VB.ags, es un gusano que se difunde a través de unidades removibles y abre puertos en el computador atacado.
Seguidamente se copia a sí mismo dentro de:
También crea el siguiente archivo:
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InProcServer32
@="%system%\Mswinsck.ocx"
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}\InProcServer32
@="%system%\Mswinsck.ocx"
HKEY_CLASSES_ROOT\CLSID\{E7BC34A3-BA86-11CF84B1-CBC2DA68BF6C}\InProcServer32
@="%system%\Ntsvc.ocx "
También crea la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PnP plug 0n Service
Seguidamente el gusano intenta conectarse al sitio [tzhen.3322.org], si logra establecer comunicación enviará el nombre del computador, dirección IP y número de puerto por donde se comunica el gusano.
Finalmente el gusano copia los siguientes archivos dentro de todas las unidades raíz y removibles que encuentre en el computador atacado
[Unidad]:\RECYCLER\Lcass.exe
[Unidad]:\autorun.inf
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú