BitDefender Antivirus
Contacte con nosotros | Mi BitDefender

Trojan.VBS.TPT

( Worm.VBS )
Propagación : muy alto
Daño : medio
Tamaño: aprox. 10 kb
Detectado : 2008 Mar 25

SINTOMAS:

Existencia del archivo "autorun.inf" (cuya la primera línea contiene el texto "forgiveme") en el directorio raíz de los discos extraíbles, junto con el archivo "information.vbs".

Existencia del siguiente valor en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run -> "Explorer" que apunta al archivo: %system32%\.vbs (dónde %system32% normalmente corresponde a C:\Windows\system32).

Existencia de los siguientes archivos:
  1. %system32%\.uce
  2. %system32%\.pif
  3. %system32%\.reg
  4. %system32%\.vbs

Bajo rendimiento del equipo y un proceso "wscript.exe" que se ejecuta aunque el usuario no utilice VBS (Visual Basic Scripts). Cabe mencionar que este proceso no pertenece al malware, pero puede ser un síntoma de infección si se encuentra en ejecución aunque no se utilice ningún script.

DESCRIPCIÓN TÉCNICA:

Este script escrito en Visual Basic Script (VBS) provoca la ejecución del proceso "wscript.exe", un proceso legítimo del sistema operativo. El virus actúa como un gusano.

Al principio, elimina todos los archivos o carpetas que tienen la misma ruta que los archivos creados por el gusano (detallados más abajo). Tiene una función que oculta (cambia los atributos del archivo a ‘oculto’) los archivos a la vista del usuario. Esto se realiza mediante el archivo original que ejecuta el usuario.

A continuación, se copia a sí mismo en la carpeta del sistema operativo (“Windows\system32”) con el nombre “.vbs” y crea los siguientes archivos:

  • "%System32%\.reg" cuyo contenido se describe a continuación, y crea la siguiente claves en el registro utilizando regedit.exe.
    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "ShowSuperHidden"=dword:00000000

Con esto oculta al usuario los archivos del sistema, mientras explora el contenido de los discos duros.

  • "%System32%\.uce" que parece un archivo "autorun.inf" habitual que encontrará en el directorio raíz de todos los discos extraíbles y se utiliza ejecutar el gusano y propagar la infección a otros equipos.

    "forgiveme
    [autorun]
    open=wscript.exe information.vbs
    shell\open\Command=wscript.exe information.vbs
    shell\find\Command=wscript.exe information.vbs
    shell\open\default=1"

  • "%System32%\.pif" que almacena la fecha en la que se ha producido la infección.

  • "%System32%\.vbs", una copia del malware oculta a los ojos del usuario.

Infecta dispositivos extraíbles copiando el archivo "%System32%\.uce" en el directorio raíz de éstos con el nombre "autorun.inf", a la vez que copia el script original bajo el nombre "information.vbs". Acto seguido, comprueba que el autorun existente comience con el texto "forgiveme" a la vez que comprueba la integridad del script: la primera línea debe contener el texto "xiao1".


Descarga archivos desde: http://?xx3.cn/, los guarda en la carpeta de archivos temporales con el nombre ".pif" y los ejecuta como ".pif.exe".

Crea tareas de Windows para que el gusano y los archivos descargados se ejecuten periódicamente cada determinado tiempo.

Crea esta clave en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run con "Explorer", que provoca la ejecución del malware al arrancar el sistema.

INSTRUCCIONES DE LIMPIEZA:

Analice sus archivos con BitDefender para desinfectarlos.

ANALIZADO POR:

Daniel Chipiristeanu, investigador de virus
©   2010 BITDEFENDER Mapa del Sitio | Términos legales | Política de Privacidad