WORM_VB.EVQ
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware infiltra copias de sí mismo en todas las unidades. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\MyData\Zita.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
* = %System Root%\MyData\Zita.exe
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\exefile
NeverShowExt =
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"
HKEY_CLASSES_ROOT\exefile
@ = "File Folder"
(Note: The default value data of the said registry entry is Application.)
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder
Propagación
Este malware infiltra copias de sí mismo en todas las unidades. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.