Larva

Larva, nocivo troyano Vbs se propaga por cualquier servicio de Internet, borra antivirus, satura el disco.

VBS/Larva, VBS/Lava

Larva es un troyano Vbs, reportado el 14 de Noviembre del 2002, de propagación masiva a través de la mayoría de servicios de Internet tales mensajes de correo, redes compartidas Kazaa, Morpheus, FTP, HTTP, TelNet, que se propaga con un archivo denominado Sooolazo.vbs.

Este troyano es un Visual Basic Script y ha sido generado con el LARVAGENERATOR:

Es un PE (Portable Ejecutable) de 4.4 KB de extensión e infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Al ser ejecutado, se auto-copia a las carpetas C:\Windows\Sooolazo.vbs y a C:\WinNT\Sooolazo.vbs, cualesquiera fuese el sistema operativo instalado. Estas rutas se encuentran encriptadas y no se vinculan a la configuración del sistema.

Luego el Script borra todos los archivos de las carpetas de cualquiera de los siguientes antivirus que se encuentren instalados en el equipo infectado:

C:\AntiViral Toolkit Pro
C:\Program Files\Command Software\F-PROT95
C:\Program Files\McAfee\VirusScan
C:\Program Files\Norton AntiVirus
C:\Toolkit\FindVirus
C:\Program Files\Panda Software\Panda Antivirus Titanium

Con el objeto de infectar vía redes P2P se auto-copia a las carpetas de Morpheus y KaZaa con los siguientes nombres:

C:\Program Files\Morpheus\My Shared Folder\CristinaAguilera.Jpg.vbs
C:\Program Files\Morpheus\My Shared Folder\AVP-Spanish Patch.Zip.VBS
C:\Program Files\Morpheus\My Shared Folder\Norton Antivirus 2002 Crack.Zip.vbs
C:\Program Files\Morpheus\My Shared Folder\SilviaSaintDoubleAnalAction.jpg.vbs
C:\Program Files\Morpheus\My Shared Folder\Panda Titanium Crack.zip.vbs
C:\Program Files\Morpheus\My Shared Folder\LasKetChupXXX.jpg.vbs
C:\Archiv~1\Morpheus\My Shared Folder\CristinaAguilera.Jpg.vbs
C:\Archiv~1\Morpheus\My Shared Folder\AVP-Spanish Patch.Zip.VBS
C:\Archiv~1\Morpheus\My Shared Folder\Norton Antivirus 2002 Crack.Zip.vbs
C:\Archiv~1\Morpheus\My Shared Folder\SilviaSaintDoubleAnalAction.jpg.vbs
C:\Archiv~1\Morpheus\My Shared Folder\Panda Titanium Crack.zip.vbs
C:\Archiv~1\Morpheus\My Shared Folder\LasKetChupXXX.jpg.vbs
C:\Program Files\KaZaA\My Shared Folder\CristinaAguilera.Jpg.vbs
C:\Program Files\KaZaA\My Shared Folder\AVP-Spanish Patch.Zip.VBS
C:\Program Files\KaZaA\My Shared Folder\Norton Antivirus 2002 Crack.Zip.vbs
C:\Program Files\KaZaA\My Shared Folder\SilviaSaintDoubleAnalAction.jpg.vbs
C:\Program Files\KaZaA\My Shared Folder\Panda Titanium Crack.zip.vbs
C:\Program Files\KaZaA\My Shared Folder\LasKetChupXXX.jpg.vbs
C:\Archiv~1\KaZaA\My Shared Folder\CristinaAguilera.Jpg.vbs
C:\Archiv~1\KaZaA\My Shared Folder\AVP-Spanish Patch.Zip.VBS
C:\Archiv~1\KaZaA\My Shared Folder\Norton Antivirus 2002 Crack.Zip.vbs
C:\Archiv~1\KaZaA\My Shared Folder\SilviaSaintDoubleAnalAction.jpg.vbs
C:\Archiv~1\KaZaA\My Shared Folder\Panda Titanium Crack.zip.vbs
C:\Archiv~1\KaZaA\My Shared Folder\LasKetChupXXX.jpg.vbs

Para ejecutarse la próxima vez que se inicie el sistema generará las siguientes llaves de registros en los sistemas operativos correspondientes:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
LARVA = "C:\Windows\sooolazo.vbs"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = "C:\WinNT\sooolazo.vbs"

El Script finalmente agrega las siguientes líneas al AUTOEXEC.BAT en los sistemas operativos correspondientes:

@Start C:\windows\sooolazo.vbs>nul
@Start C:\winnt\sooolazo.vbs>nul
cls

Luego que se ejecuta muestra la siguiente caja de diálogo:

Los payloads de este troyano Vbs son:

Borra los antivirus instalados en los sistemas infectados, dejándolos vulnerables a los virus.
Hace innumerables copias de sí mismo saturando el espacio en disco.
Modifica el Autoexec.bat, cuya instrucción >nul oculta su accionar.
Infectar vía redes compartidas Peer to Peer.

PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 14 de Noviembre del 2002 detectan y eliminan eficientemente este troyano.