WORM_VOBFUS.ADQ

Publish Date: 20 aprile 2013

Analizzato da: Jaime Benigno Reyes

Worm.Win32.Vobfus.dngt (Kaspersky), W32/Autorun.worm.aaeh!heur (McAfee)

Piattaforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

Valutazione del rischio complessivo:

Potenziale dannoso: :

Potenziale di distribuzione: :

Reported Infection:

Basso

Medio

Alto

Critico

Tipo di minaccia informatica:
Worm
Distruttivo?:
No
Crittografato?:
In the wild::
Sì

Panoramica e descrizione

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Dettagli tecnici

Dimensione file: 257,024 bytes

Tipo di file: EXE

Residente in memoria: Sì

Data di ricezione campioni iniziali: 19 aprile 2013

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

{removable drive letter}:\x.mpeg

Crea las siguientes copias de sí mismo en el sistema afectado:

%User Profile%\{random}.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%User Profile%\{random}.exe /{random letter}"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate\
AU
NoAutoUpdate = "1"

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is "1".)

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

{removable drive letter}:\{random file name}.exe
{removable drive letter}:\Passwords.exe
{removable drive letter}:\Porn.exe
{removable drive letter}:\Secret.exe
{removable drive letter}:\Sexy.exe
{removable drive letter}:\{folder name}.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

http://{BLOCKED}r.su/f/sc.exe
http://{BLOCKED}r.su/f/pkc.exe
http://www.{BLOCKED}ilde-ehe-a.de/gnom.exe

WORM_VOBFUS.ADQ

Panoramica e descrizione

Dettagli tecnici

Risorse

Assistenza

Informazioni su Trend

WORM_VOBFUS.ADQ

Panoramica e descrizione

Dettagli tecnici

Risorse

Assistenza

Informazioni su Trend

America

Medio Oriente e Africa

Europa

Asia e Pacifico