Validin

VALIDIN gusano de Internet termina procesos descarga malwares infecta archivos de diversas extensiones, etc.

W32/Validin

Validin es un destructivo gusano reportado el 23 de Abril del 2007, que se propaga visitando sitios web desconocidosy sospechosos e infecta archivos con diversas extensiones borrando aquellos con extensión .gho asociados al Norton Ghost, al parecer explotando vulnerabilidades de sistemas que aún no han sido parchados.

Descarga archivos malwares desde portales de juegos ubicados la China.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con 53.5KB de extensión.

Al activarse se copia a las siguientes rutas con los nombres:

%Windir%\Invalid.exe
%System%\drivers\Invalid.exe

libera ademá el archivo Invalid.dll en la carpeta %System%, luego se copia a todos los discos removibles, inlcuyendo los USB como:

[Unidad_de_disco\RECYCLER.exe

para activarse cada vez que se conecte un disco removible al equipo abre el archivo:

[Unidad_de_disco]:\Autorun.inf

Y para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"WinFile" = "%System%\drivers\Invalid.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"DataAccess" = "%Windir%\Invalid.exe"

Para cambiar la configuración del Windows Explorer modifica las llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = "95"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano termina los siguientes procesos:

VCRMON.EXE
KAV.EXE
CCAPP.EXE
NVSVC32.EXE
SPIDERUI.EXE
UPGRADE.EXE
SPIDERNT.EXE
MONSVCNT.EXE
MONSYSNT.EXE
TRIALREG.EXE
SUPDATE.EXE
AUTORUNS.EXE
ICESWORD.EXE
MCSHIELD.EXE
REGEDIT.EXE
MSCONFIG.EXE

Congela además los procesos:

OfficeScanNT Monitor
Norton
ZoneAlarm
McShield
V3MonSvc
MskService
McTaskManager
Symantec Core LC
kavsvc

Descarga archivos con códigos malignos desde los siguientes portales de juegos ubicados en la China:

http://www.inpopo.com/down17/17.[Censurado]
http://www.gameso.net/down1/test[Censurado]
http://www.inpopo.com/down2/[Censurado]
http://www.inpopo.com/down1/[Censurado]

Seguidamente, el gusano revisa todas las unidades de disco desde la C:\ a la Z:\ e infecta los archivos con las extensiones:

htm
html
jsp
vbs
xml
shtml
js
php
asp
aspx

evitando hacerlo con aquellos ubicados en las siguientes carpetas:

Windows NT
WINDOWS
Local Settings
Recycled
System Volume Information

El gusano agrega a los archivos infectados la siguiente línea JavaScript en la parte inferior del archivo:

Finalmente el gusano revisa todas las unidades de disco desde la C:\ a la Z:\ de estaciones de trabajo y servidores locales e infecta los archivos con la extensión .gho, en caso existiera.

NOTA: Las extensiones .gho petenecen al utilitario Norton Ghost.

PER ANTIVIRUS® versiones 10.0 y 10.1 con registro de virus al 24 de Abril del 2007 detectan y eliminan eficientemente este gusano.