Worm polimorfico VBNA que vamos a detectar y eliminar con la nueva utilidad ELIVBNA.EXE

Tras tener aparcadas unas 15 muestras de una familia que va cambiando su codigo cada vez que se instala en un equipo, lo cual dificulta enormemente su detección, hemos clasificado en 5 subgrupos dichas muestras y visto que en cada grupo se comportan igual, si bien los grupos de 8 bytes que cambian en cada infeccion son distintos de un grupo a otro, por lo que se ha tenido que hacer 5 detecciones diferentes, si bien con ello podemos decir que las cinco variantes que conocemos, las pasaremos a controlar o a pedir muestra para ello.

Los nombres con los que se conocen son:

Worm.Win32.VBNA.isu (Kaspersky)
W32/VBNA.worm       (McAfee)
Trojan.Siggen.4099  (DrWeb)
Worm:Win32/Vobfus.C (Microsoft)
Win32:VB-NIK        (Avast)
Win32/AutoRun.VB.GA (NOD32)

Las caracteristicas mas significativas son :

– Queda residente.
– Lanza el IEXPLORE.EXE en 2º plano.
– Nombre del fichero (.EXE o .SCR) y del valor, varia en cada infección
  (de 5, 6 ó 7 letras)
– Su Código varia en cada infección. Colaca 8 bytes en posiciones
  concretas del EXE (posiblemente no importantes para su funcionamiento)
– No deja detener el proceso activo.
– Oculta ficheros del sistema.
– Escrito en Visual Basic.
En una sofisticada labor de nuestros técnicos, se está desarrollando una nueva utilidad ELIBVNA.EXE con la que determinará a qué subfamilia corresponde si es el caso, y lo eliminará, de lo cual nos congratulamos 🙂

SI coincide con una de las caracteristicas indicadas, convendrá probar dicha nueva utilidad.

saludos

ms, 25-3-2010

NOTA:  Y además se propaga a otras unidades extraibles como los pendrives, asi que conviene vacunar con el ELIPEN