W32/VB.bi

El gusano tiene una peligrosa rutina de activación (Payload), la cual se activa el 3er día de cada mes aproximadamente 30 minutos después de iniciado el sistema, el gusano busca y sobrescribe todos los archivos con las siguientes extensiones que encuentre en el computador infectado:

• .DOC
• .XLS
• .MDB
• .MDE
• .PPT
• .PPS
• .ZIP
• .RAR
• .PDF
• .PSD
• .DMP

Los archivos son sobrescritos con el siguiente texto:

"DATA Error [47 0F 94 93 F4 K5]"

W32/VB.bi, es un gusano que se difunde a través de envío masivos de e-mail, utiliza su propio motor SMTP para enviarse a todas las direcciones de e-mail que encuentre en el computador atacado y en archivos con las siguientes extensiones, .htm, .dbx, .eml, .msg, .oft, .nws, .vcf, .mbx, .imh, .txt, y .msf. También busca direcciones de e-mail dentro de archivos que en su nombre tengan los siguientes textos "CONTENT." y "TEMPORARY".

Características del Mensaje de E-mail:

Asunto: [Variable]

• *Hot Movie*
• A Great Video
• Fw: DSC-00465.jpg
• Fw: Funny :)
• Fw: Picturs
• Fw: Real show
• Fw: SeX.mpg
• Fw: Sexy
• Fwd: Crazy illegal Sex!
• Fwd: image.jpg
• Fwd: Photo
• give me a kiss
• Miss Lebanon 2006
• My photos
• Part 1 of 6 Video clipe
• Photos
• School girl fantasies gone bad

Cuerpo: [Variable]

• Note: forwarded message attached. You Must View This Videoclip!
• >> forwarded message
• Re: Sex Video
• i just any one see my photos.
• It's Free :)
• The Best Videoclip Ever
• Hot XXX Yahoo Groups
• Fuckin Kama Sutra pics
• ready to be FUCKED ;)
• forwarded message attached.
• VIDEOS! FREE! (US$ 0,00)
• What?
• i send the file.
• Helloi attached the details.
• Thank you
• the file i send the details
• hello,
• Please see the file.
• how are you?
• i send the details.

Archivo Adjunto: [Variable, pueden ser archivos ejecutables o archivos en formato MIME]

• 007.pif
• 392315089702606E-02,.scR
• 677.pif
• Adults_9,zip.sCR
• Arab sex DSC-00465.jpg
• ATT01.zip.sCR
• Attachments[001],B64.sCr
• Clipe,zip.sCr
• document.pif
• DSC-00465.Pif
• DSC-00465.pIf
• eBook.pdf
• eBook.PIF
• image04.pif
• New Video,zip
• New_Document_file.pif
• photo.pif
• Photos,zip.sCR
• School.pif
• SeX,zip.scR
• Sex.mim
• Video_part.mim
• WinZip,zip.scR
• WinZip.BHX
• WinZip.zip.sCR
• Word XP.zip.sCR
• Word.zip.sCR

Nota.- Si el archivo esta en formato MIME este puede contener un archivo con uno de los siguientes nombres:

• 392315089702606E-02,UUE[Espacios en Blanco].scr
• Adults_9,zip[Espacios en Blanco].scr
• ATT01.zip[Espacios en Blanco].scr
• Atta[001],zip[Espacios en Blanco].scr
• Attachments,zip[Espacios en Blanco].scr
• Attachments[001],B64[Espacios en Blanco].scr
• Clipe,zip[Espacios en Blanco].scr
• New Video,zip[Espacios en Blanco].scr
• Photos,zip[Espacios en Blanco].scr
• SeX,zip[Espacios en Blanco].scr
• WinZip,zip[Espacios en Blanco].scr
• WinZip.zip[Espacios en Blanco].scr
• Word XP.zip[Espacios en Blanco].scr
• Word.zip[Espacios en Blanco].scr

Los archivos codificados en formato MIME también pueden utilizar las siguientes extensiones:

• .mim
• .HQX
• .BHx
• .b64
• .uu
• .UUE

-----------------------

Cuando el gusano se ejecuta copia un archivo de nombre "sample.zip" y lo ejecuta dentro de la carpeta %system%, también copia los siguientes archivos

• %windows%\rundll16.exe
• %windows%\ WINZIP_TMP.EXE
• %system%\scanregw.exe
• %system%\Winzip.exe
• %system%\Update.exe
• %system%\WINZIP_TMP.EXE
• %system%\sample.zip

Nota:

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"ScanRegistry"="%system%\scanregw.exe /scan"

También modifica las siguientes entradas:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"ShowSuperHidden"="0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"WebView"="0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

"FullPath"="0"

También elimina archivos que encuentre en las siguientes rutas:

• %ProgramFiles%\DAP\*.dll
• %ProgramFiles%\BearShare\*.dll
• %ProgramFiles%\Symantec\LiveUpdate\*.*
• %ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
• %ProgramFiles%\Norton AntiVirus\*.exe
• %ProgramFiles%\Alwil Software\Avast4\*.exe
• %ProgramFiles%\McAfee.com\VSO\*.exe
• %ProgramFiles%\McAfee.com\Agent\*.*
• %ProgramFiles%\McAfee.com\shared\*.*
• %ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
• %ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe
• %ProgramFiles%\Trend Micro\Internet Security\*.exe
• %ProgramFiles%\NavNT\*.exe
• %ProgramFiles%\Morpheus\*.dll
• %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %ProgramFiles%\Grisoft\AVG7\*.dll
• %ProgramFiles%\TREND MICRO\OfficeScan\*.dll
• %ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
• %ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar

Cierra todas las ventanas que tengan como titulo alguno de los siguientes textos:

• SYMANTEC
• SCAN
• KASPERSKY
• VIRUS
• MCAFEE
• TREND MICRO
• NORTON
• REMOVAL
• FIX

También elimina los siguientes valores del registro:

• PCCIOMON.exe

• pccguide.exe

• Pop3trap.exe

• PccPfw

• Tmproxy

• McAfeeVirusScanService

• NAVAgent

• PCCClient.exe

• SSDPSRV

• rtvscn95

• defwatch

• vptray

• ScanInicio

• APVXDWIN

• KAVPersonal50

• kaspersky

• TMOutbreakAgent

• AVG7_Run

• AVG_CC

• Avgserv9.exe

• AVGW

• AVG7_CC

• AVG7_EMC

• VetAlert

• VetTray

• OfficeScanNTMonitor

• avast!

• DownloadAccelerator

• BearShare

Que encuentre en las siguientes entradas:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

También intentará acceder al siguiente sitio Web:

http://webstats.[removido].net/Count.cgi?df=765247

Finalmente el gusano se difunde a través de recursos compartidos, este busca las siguientes carpetas compartidas, donde se copiara a si mismo utilizando un archivo de nombre "WINZIP_TMP.EXE"

• ADMIN$
• C$

Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú