W32/VB.GE

Descripción:

W32/VB.GE, es un virus que sobrescribe y reemplaza archivos .exe que encuentre en el computador atacado, También se copia dentro de medios removibles y unidades de red mapeadas.

Cuando el Virus se ejecuta se copia a si mismo con todos sus componentes dentro de:

• %system%\JK.exe
• %system%\love.bat
• %system%\loveRabbit.bat
• %system%\loveRabbit.exe
• %system%\msexch400.dll
• %system%\Rabbit.exe
• %windows%\msconfig.inf
• %windows%\msconfig1.inf

Nota:

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).

Seguidamente el archivo "msexch400.dll" es inyectado dentro de los procesos del archivo "Winlogon.exe" y cada cierto tiempo intenta visualizar el siguiente mensaje:

"I LOVE Rabbit, and you ?look: [Dirección Web]"

Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}

"StubPath"="%system%\JK.exe"

También elimina las siguientes entradas

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}

Seguidamente el gusano intenta hacer copias de si mismo y sobrescribir archivos ".exe" que encuentre en las siguientes ubicaciones:

• C:\Program Files
• D:\
• E:\
• F:\
• G:\
• H:\

Los archivos ejecutables que han sido reemplazados por el virus tiene el icono de un "conejo"

Finalmente una copia del archivo "Autorun.inf" es creado en la carpeta raíz de cada unidad, de esta manera se ejecuta automáticamente cada vez que se acceda a la unidad.

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú