Virus Trojan.VBS.TPT
| ||||
Debido al auge de Internet los creadores de virus han encontrado una forma de propagación masiva y espectacular de sus creaciones a través mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión *.VBS (Visual Basic Scripts).
Síntomas
Existencia del archivo autorun.inf (cuya la primera línea contiene el texto forgiveme) en el directorio raíz de los discos extraíbles, junto con el archivo information.vbs.
Existencia del siguiente valor en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run -> "Explorer" que apunta al archivo: %system32%\.vbs (dónde %system32% normalmente corresponde a C:\Windows\system32
Existencia de los siguientes archivos: %system32%\.uce %system32%\.pif %system32%\.reg %system32%\.vbs
Bajo rendimiento del equipo y un proceso wscript.exe que se ejecuta aunque el usuario no utilice VBS. Cabe mencionar que este proceso no pertenece al malware, pero puede ser un síntoma de infección si se encuentra en ejecución aunque no se utilice ningún script.
Descripción técnica
Este script escrito en Visual Basic Script (VBS) provoca la ejecución del proceso wscript.exe, un proceso legítimo del sistema operativo. El virus actúa como un gusano.
Al principio, elimina todos los archivos o carpetas que tienen la misma ruta que los archivos creados por el gusano. Tiene una función que oculta (cambia los atributos del archivo a oculto) los archivos a la vista del usuario. Esto se realiza mediante el archivo original que ejecuta el usuario.
A continuación, se copia a sí mismo en la carpeta del sistema operativo (Windows\system32) con el nombre .vbs y crea los siguientes archivos: %System32%\.reg donde crea la siguiente claves en el registro utilizando regedit.exe.Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]"ShowSuperHidden"=dword:00000000
Con esto oculta al usuario los archivos del sistema, mientras explora el contenido de los discos duros.
%System32%\.uce que parece un archivo ''autorun.inf'' habitual que encontrará en el directorio raíz de todos los discos extraíbles y se utiliza ejecutar el gusano y propagar la infección a otros equipos.
forgiveme
[autorun] open=wscript.exe information.vbs
shell\open\Command=wscript.exe information.vbs shell\find\Command=wscript.exe information.vbs shell\open\default=1
%System32%\.pif que almacena la fecha en la que se ha producido la infección.
%System32%\.vbs, una copia del malware oculta a los ojos del usuario.
Infecta dispositivos extraíbles copiando el archivo %System32%\.uce en el directorio raíz de éstos con el nombre autorun.inf, a la vez que copia el script original bajo el nombre information.vbs. Acto seguido, comprueba que el autorun existente comience con el texto forgiveme a la vez que comprueba la integridad del script: la primera línea debe contener el texto xiao1.
Descarga archivos desde: http://?xx3.cn/, los guarda en la carpeta de archivos temporales con el nombre .pif y los ejecuta como .pif.exe.
Crea tareas de Windows para que el gusano y los archivos descargados se ejecuten periódicamente cada determinado tiempo. Crea esta clave en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run con "Explorer", que provoca la ejecución del malware al arrancar el sistema.
Instrucciones de limpieza
Analice sus archivos con un antivirus actualizado para desinfectarlos.
