Alarma de algunos usuarios por la infección de variantes del VBNA, por lo que conviene recordar algunas de sus características.
El worm VBNA es un downloader que descarga cantidad de nuevos malwares, como el el SIREFEF, el FAKE WRITE, el WALEDAC, el PROXYEXI, etc, además de actualizarse a la última versión, los cuales se van controlando a medida que van apareciendo, afortunadamente cazados generalmente por el sistema heurístico, tanto de nuestras utilidades (ELISTARA, ELIVBNA, ELISIREF, etc), como del propio VirusScan, sobretodo si se aumenta su nivel de sensibilidad heurística, como se recomienda en:
https://blog.satinfo.es/?p=34237
Sobre el VBNA, que está presente desde hace bastante tiempo, pues el ELIVBNA lo empezamos a actualizar en Marzo del 2010, McAfee lanzó una alerta a finales de Noviembre 2012, sobre la masiva infección en EE.UU. de lo que llamaron AUTORUN.WORM.aaeb , que resultó ser el consabido VBNA.
De ello informamos en esta noticia del blog: https://blog.satinfo.es/?p=33668
Luego nos dimos cuenta de que era mas de lo mismo, pues sus características eran idénticas, entre las que destacamos sus mas significativas:
Este gusano VBNA tiene la habilidad de infectar dispositivos extraíbles así como unidades de red montadas.
La infección puede iniciarse por una ejecución manual del archivo infectado o, simplemente, por navegar en cualquier carpeta que contenga los archivos infectados en la que el archivo “Autorun.inf” pueda causar la ejecución automática del malware.
Además es capaz de añadir una copia del propio malware en archivos Zip y Rar.
También tiene la posibilidad de descargar otros archivos malware y actualizarse de forma remota vía un servidor C&C.
Modifica los atributos de los directorios de la unidad afectada para crear copias de sí mismo con el mismo nombre de fichero como carpeta y ocultarlas con atributos +S +H
El malware crea copias de sí mismo con los siguientes nombre de archivo: Secret.exe, Sexy.exe, Porn.exe, Passwords.Exe .
Todo ello es visible en nuestra noticia del blog al respecto : https://blog.satinfo.es/?p=33668 , que recomendamos leer a fondo, dado que se mantiene su interés.
Fijarse que como sobresaliente es que oculta ficheros, crea ejecutables que se lanzan al insertar un pendrive infectado o al acceder a unidades montadas que contengan el AUTORUN.INF infectado. Por ello siempre recomendamos vacunar con nuestro ELIPEN.EXE las unidades extraibles USB, aparte de ejecutar dicha utilidad en los ordenadores para evitar que autoejecuten los AUTORUN.INF de dichas unidades.
Confiamos que esta información les sea de interés, y quedamos a su disposición para aclarar las dudas que surgieran al respecto.
saludos
ms, 9-1-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.
Los comentarios están cerrados.