WORM_VOBFUS.SMCF
Worm:Win32/Vobfus.MB (Microsoft), W32.Changeup (Symantec), W32/Autorun.worm.aaeb (McAfee)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Para obtener una visi¨®n integral del comportamiento de este Worm, consulte el diagrama de amenazas que se muestra a continuaci¨®n.
Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
TECHNICAL DETAILS
Detalles de entrada
Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %User Profile%\{random file name}.exe
- %User Profile%\Passwords.exe
- %User Profile%\Porn.exe
- %User Profile%\Secret.exe
- %User Profile%\Sexy.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Infiltra los archivos siguientes:
- {drive letter}:\x.mpeg
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name}.exe = "%User Profile%\{random file name}.exe /{random character}"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate\
AU
NoAutoUpdate = "1"
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(Note: The default value data of the said registry entry is 1.)
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Este malware infiltra la(s) siguiente(s) copia(s) de s¨ª mismo en todas las unidades extra¨ªbles:
- {drive letter}:\{random file name}.exe
- {drive letter}:\Passwords.exe
- {drive letter}:\Porn.exe
- {drive letter}:\Secret.exe
- {drive letter}:\Sexy.exe
- {drive letter}:\{folder name}.exe
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- http://{random number}.{BLOCKED}.eu:443/cWWFwy?d
- http://{random number}.{BLOCKED}1.eu:443/cWWFwy/?d
- http://{BLOCKE}D1.{BLOCKED}ecks.net
Guarda los archivos que descarga con los nombres siguientes:
- %User Profile%\google.com
Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Elimine los archivos de malware que se han introducido/descargado mediante WORM_VOBFUS.SMCF
- TSPY_BANCOS
Step 3
Explorar el equipo con su producto de live casino online y anotar los archivos detectados como WORM_VOBFUS.SMCF
Step 4
Reiniciar en modo seguro
Step 5
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random file name} = "%User Profile%\{random file name}.exe /{random character}"
- {random file name} = "%User Profile%\{random file name}.exe /{random character}"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
- NoAutoUpdate = "1"
- NoAutoUpdate = "1"
Step 6
Restaurar este valor del Registro modificado
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: ShowSuperHidden = "0"
To: ShowSuperHidden = "1"
- From: ShowSuperHidden = "0"
Step 7
Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_VOBFUS.SMCF que contienen las siguientes cadenas
[autorun]
{garbage characters}
open={random}.eXE
{garbage characters}
ACTION={random number}
UseautopLAY=1
{garbage characters}
Step 8
Buscar y eliminar este archivo
- {drive letter}:\x.mpeg
Step 9
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_VOBFUS.SMCF En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.