WORM_VBVRX.SMD
Worm:Win32/VB.FW (Microsoft), W32/Virut.n.gen (McAfee), Virus.Win32.Virut.ce (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Llega tras conectar las unidades extraíbles afectadas a un sistema. Puede haberlo infiltrado otro malware.
Modifica las entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema.
Este malware infiltra copias de sí mismo en todas las unidades. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.
TECHNICAL DETAILS
Detalles de entrada
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Puede haberlo infiltrado otro malware.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Windows%\winlogon.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Técnica de inicio automático
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %Windows%\winlogon.exe"
(Note: The default value data of the said registry entry is "Explorer.exe".)
Infección de archivo
Ésta es la detección de Trend Micro de archivos infectados por:
- PE_VIRUX.S-1
Propagación
Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:
- {drive letter}:\winlogon.exe
Este malware infiltra copias de sí mismo en todas las unidades. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.