W32/VB.aol

Descripción:

W32/VB.aol, es un gusano que se difunde a través de recursos compartidos y unidades removibles.

Cuando el gusano se ejecuta se copia a si mismo dentro de:

• %Documents and Settings%\[Perfil del Usuario]\My Documents\New Folder.exe
• %Documents and Settings%\All Users\Documents\Top Pictures.exe
• %windows%\Windows Explorer.exe

Además crea las siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Explorer"="%windows%\Windows Explorer.exe"

También modifica las siguientes entradas en el registro

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\"FullPath"="01 00 00 00"
• HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt"="01 00 00 00"

Seguidamente el gusano intenta finalizar los procesos que contengan alguno de los siguientes textos en su nombre:

• virus
• trojan
• scan
• anti
• remove
• imen
• windows task manager
• registry editor
• system configuration utility

Finalmente el gusano crea los siguientes archivos en todas las unidades, incluyendo unidades removibles y mapeadas

• New Folder.exe
• Top Pictures.exe
• Windows Explorer.exe

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú