Win32/VB: Una familia que sabe esconderse

Uno de los principales consejos que hemos comentado gran cantidad de veces aquí en el Blog, y en nuestros seminarios educativos en Latinoamérica, es la importancia de la prevención, como principal característica de la protección ante códigos maliciosos.

El antivirus funcional y actualizado debe trabajar en modo residente y así ofrecer la mayor protección para la que esta preparado: prevenir que un código malicioso se ejecute en el equipo. Una vez que el sistema se encuentra infectado (ya que el usuario no tenía activo el antivirus, o directamente no tenía uno instalado), el antivirus será capaz de detectar la amenaza y eliminarla, pero muchas veces, el código malicioso ha realizado modificaciones en el sistema que pueden ser muy molestas para los usuarios, y que hacen que se continúe con problemas, a pesar de haberse eliminado el código malicioso del equipo.

Tal es el caso de la familia de gusanos detectada por ESET NOD32 como Win32/VB.[variante] gusano, de la cual hemos recibido gran cantidad de consultas en las últimas semanas dados sus índices de propagación, que están en aumento.

Esta familia, son códigos maliciosos desarrollados en Visual Basic, que poseen la característica de copiarse en el sistema en lugar de archivos o carpetas ya existentes, y reemplazarlas por versiones ejecutables.

Según la variante, son modificados archivos de Microsoft Word, imágenes, o carpetas, entre otros. Por ejemplo, un sistema infectado con la variante Win32/VB.NJU gusano, verá de la siguiente forma su disco C en el sistema (nótese la columna tamaño de la supuesta carpeta):

Todos los archivos son copias del gusano, por lo tanto el usuario estará ejecutando el código malicioso ingresando a cualquier carpeta de su unidad C. Si se habilitan la visión de archivos ocultos y de extensiones de archivos, puede observarse claramente que las carpetas originales han sido ocultadas, y reemplazadas por las copias del código malicioso con extensión EXE ejecutable:

Aquellos usuarios que no han prevenido la ejecución del código malicioso, se encuentran con problemas luego de la desinfección, ya que sus carpetas o archivos han sido ocultados, y deben ser restaurados sus atributos de forma manual.

Lo interesante de este gusano, es que recupera una característica que se encuentra en disminución en el malware actual: las acciones destructivas del sistema. La utilización del malware para obtener dinero, las botnets y el robo de información, hacen que la mayor parte de los nuevos códigos maliciosos, no posean características destructivas en el sistema, ya que justamente necesitan que el usuario utilice el equipo para su cometido.

Claramente, aunque en disminución, todavía existen desarrolladores de códigos maliciosos con intenciones meramente dañinas.

Sebastián

Actualización: la serie de post continúa en Win32/VB: Una familia que sabe esconderse (II)

Autor , ESET

  • Miklos

    Y que me pueden decir de este que intentó copiarse a mis carpetas compartidas en la red de la empresa en la que trabajo con el nombre de ybwxiq.exe (noto que usa nombres aleatorios) y que el Eset Smart Security detectó con el nombre de: Win32/Packed.Autoit.Gen

    ¡TIENEN UN EXCELENTE ANTIVIRUS!

    Saludos.

    • Hola Miklos,

      Dicha firma es una firma genérica y por lo tanto la detección de la amenaza fue producto de la heurística de ESET NOD32.

      Sebastián

  • y la pregunta del millon de dolares, es, como eliminar este virus, tengo uno que dice VB.NRJ WORM, aunque tengo el antivirus nod 32 2009, no lo detecta ni lo elimina, aunque mi hermana tiene un nod32 viejito, y alli si lo detecta, entonces, como elimino este virus, sin formatear mi pc, y como no lo puede detectar el mio. otra cosa, el antivirus de mi hermana, cuando pongo el pendrive, detecta antes de la limpieza estos virus I:/AUTORUN.INF/WIN32/INJECTOR.QXTROJAN, Y, I:/MEMORY/S-v-6-2009/PeAcE/WIN32/INJECTOR.QXTROJAN, por cierto, me cambia todo los archivos de lectura en .exe gracias por su ayuda

    • Hola Carlos,

      La versión de ESET NOD32 que mencionas no existe. La última versión disponible es la 4.0.467 y elimina el malware sin problemas.

      Cristian

Síguenos