|
W32/Vbs.Agui
Agui es un gusano Visual Script residente en memoria, reportado el 16 de Marzo del 2007 que infecta unidades removibles de almacenamiento, incluyendo dispositivos Flash USB. Es propagado por diversos servicios de Internet, tales como correo, Peer to Peer, Mensajería Instantánea, etc.Libera una imagen desnuda de la cantante Cristina Aguilera y la intercambia por el icono VBS instalado por defecto en el sistema.
Infecta Windows 95/98/Me/NT/2000/XP y Server 2003, es un Visual Basic Script con una extensión de 194KB.
Al ingresar a un sistema, el gusano verifica la existencia de el siguiente archivo en la ruta:
%Windir%\SYSTEM32\OeApi.vbs
en caso no encontrarlo, lo crea.
libera en la carpeta %System% el archivo Christina.jpg y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System" = "%Windir%\SYSTEM32\OeApi.vbs"
Luego el gusano, se auto-copia cada tres minutos al directorio raíz de todas las unidades de disco remobibles con el nombre:
[Letra_de_unidad:\]\Christina Aguilera.vbs
también copia ese valor en la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\DefaultIcon]
del mismo modo antepone ese mismo valor en la siguiente sub-llave, con lo cual
cambiará el icono del VBS instalado por
defecto en el sistema por el gráfico Christina.jpg:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Vbsfile\DefaultIcon]
El gusano termina su accionar o payload,
en la medianoche de cada día.
PER ANTIVIRUS® versión 10.0 con registro de virus al 16 de Marzo del 2007 detecta y elimina este gusano Visual Script.
