Vbs/Invadesys

INVADESYS gusano VBS infecta raíz de unidades de disco infecta o borra archivos termina procesos, etc.

W32/Vbs/Invadesys

Invadesys es un gusano Visual Script residente en memoria, reportado el 13 de Noviembre del 2007 que se propaga a través de diversos servicios de Internet.

Infecta el directorio raíz de las unidades de disco incluso las removibles, incluyendo dispositivos USB y excluyendo lectoras de diskettes.

Infecta archivos de determinadas extensiones, termina varios procesos, borra archivos multimedia y desestabiliza la seguridad del sistema.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, es Visual Basic Script, con una extensión variable.

Al ser activado se copia a las siguientes rutas con los nombres:

%Sysyem%\[Usuario_Actual].ini
%System%\[Usuario_Actual].vbs
%Windir%\[Usuario_Actual].vbs

Usuario_Actual: es el usuario vigente en el sistema.

Se copia además a la raíz de todas las unidades de disco, incluso removibles, excepto las disqueteras:

[Unidad_de_disco]\autorun.inf
[Unidad_de_disco]\achitasin.dll.vbs

para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]
"default" = "%SystemRoot%\System32\WScript.exe "C:\WINDOWS\[Usuario_Actual].vbs" %1 %* "
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command]
"default" = "%SystemRoot%\System32\WScript.exe "C:\WINDOWS\[Usuario_Actual].vbs" %1 %* "
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
"default" = "%SystemRoot%\System32\WScript.exe "C:\WINDOWS\[Usuario_Actual].vbs" %1 %* "
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command]
"default" = "%SystemRoot%\System32\WScript.exe "C:\WINDOWS\[Usuario_Actual].vbs" %1 %* "
[HKEY_CURRENT USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "C:\WINDOWS\system32\[Usuario_Actual].vbs"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo, genera las siguientes sub-llaves para desestabilizar el sistema:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = "81"

y termina los siguientes procesos:

360tray.exe
cmd.com
cmd.exe
msconfig.exe
ras.exe
regedit.com
regedit.exe
regedit.pif
regedit.scr
SREng.exe
taskmgr.exe
USBAntivir.exe

Busca los archivos con las siguientes extensiones para insertarles su código viral, dejándolos inoperativos:

asp
hta
htm
html
vbs

Borra los archivos multimedia con las extensiones:

avi
emvb
mpg
rm

Finalmente, si el usuario vigente es el Administrador, muestra este mensaje:

You are Admin!!! Your Computer Will Not Be Infected!!!

PER ANTIVIRUS® versión 10.3 con registro de virus al 13 de Noviembre del 2007 detecta y elimina este gusano Visual Script.