WORM_VBNA.AH
Windows 98, ME, NT, 2000, XP, Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Este malware infiltra copias de sí mismo en todas las unidades extraíbles. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Profile%\{random filename}.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random string} = %User Profile%\{random filename}.exe
Propagación
Este malware infiltra copias de sí mismo en todas las unidades extraíbles.
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
- It drops .LNK files that point to a copy of itself to automatically execute dropped copies when the drives are accessed. These .LNK files use the names of the existing folders. This is to execute the malware copy first before opening the real folder. It changes the attributes of the original folders into Hidden and System to trick the users.
- It also drops the following file in all removable drives: ert.dll - detected as TROJ_ZAPCHAST.LA, z{random letters}.lnk - detected as LNK_STUXNET.SM
SOLUTION
Step 1
Elimine los archivos de malware que se han introducido/descargado mediante WORM_VBNA.AH
- TROJ_ZAPCHAST.LA
- LNK_STUXNET.SM
Step 2
Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como WORM_VBNA.AH
Step 3
Reiniciar en modo seguro
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random string}=%User Profile%\{random filename}.exe
- {random string}=%User Profile%\{random filename}.exe
Step 5
Restaurar este valor del Registro modificado
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: ShowSuperHidden=0
To: ShowSuperHidden=1
- From: ShowSuperHidden=0
Step 6
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como WORM_VBNA.AH En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.