WORM_VBVRX.SMD
Worm:Win32/VB.FW (Microsoft), W32/Virut.n.gen (McAfee), Virus.Win32.Virut.ce (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Worm
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Llega tras conectar las unidades extraíbles afectadas a un sistema. Puede haberlo infiltrado otro malware.
Modifica las entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema.
Este malware infiltra copias de sí mismo en todas las unidades. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.
Detalles técnicos
Detalles de entrada
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Puede haberlo infiltrado otro malware.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Windows%\winlogon.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Técnica de inicio automático
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %Windows%\winlogon.exe"
(Note: The default value data of the said registry entry is "Explorer.exe".)
Infección de archivo
Ésta es la detección de Trend Micro de archivos infectados por:
- PE_VIRUX.S-1
Propagación
Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:
- {drive letter}:\winlogon.exe
Este malware infiltra copias de sí mismo en todas las unidades. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.