W32/Vapka.AW

VAPKA.AW gusano de Internet infecta unidades de disco removibles roba información sensible del sistema.

W32/Vapka.AW

Vapka.AW es un gusano residente en memoria, reportado el 27 de Diciembre del 2007 que se propaga a través de diversos servicios de Internet.

Infecta las unidades de disco removibles.

Sus componentes "keylogger" y otros troyanos capturan teclas digitadas, roba información sensible del sistema, la almacena en determinados archivos y envía a una direción de correo del atacante. Finalmente borra los archivos donde almacenó esa información.

Desestabiliza la seguridad de Windows y dos software de seguridad, en caso estar instalados en el sistema.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Assembler, con una extensión de 376,832 byte, no está encriptado.

Al ser activado se copia a las siguientes rutas y con los nombres:

%Windir%\Registration\R0000000000Hx.clb
%Windir%\wuaucl.exe

Luego libera los siguientes archivos:

%Windir%\$NtUninstallKB893339$\systems.dat
%Windir%\$NtUninstallKB893339$\mashine.dat
%Windir%\$NtUninstallKB893339$\exported.pfx

y para ejecutarse la próxima vez que se active el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%Windir%\wuaucl.exe"

Para desestabilizar la seguridad de Windows agrega los siguientes valores a las sub-llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security]
"DLLName" = "manager.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security]
"EntryPoint" = "Start"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security]
"StackSize" = "0"

También modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "mslogon.dll"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano libera los siguientes archivos:

%Windir%\iexplore.exe (componente que envia la información extraída al atacante)
%Windir%\System32\mslogon.dll (componente que roba la información de login de Windows)
%Windir%\diskguard.dll (componente keylogger captura teclas digitadas)
%Windir%\find32.exe (componente que borra el cache del navegador y de los archivos de contraseñas)
%Windir%\mspwd.exe (componente que roba detalles de cuentas de correo)
%Windir%\System32\manager.dll (adminstrador de archivos infectados)
%Windir%\System32\ckcn.exe (componente que roba información de certificaciones)

Luego el gusano deshabilita los siguientes software de seguridad, en caso de existir en el sistema:

ZoneAlarm
Agnitum Outpost Firewall

y se copia a sí mismo en todas las unidades removibles:

%Unidad_de_disco%\RECYCLER\kavpa.exe

Para ejecutar el archivo kavpa.exe cada vez que una unidad de disco removible es usada crea el archivo:

%Unidad_de_disco%\autorun.inf

Despues de enviada la información al atacante, el gusano borra los archivos donde almacenó la información extraída:

%UserProfile%\Cookies\*.txt

*\wand.dat

PER ANTIVIRUS® versión 10.3 con registro de virus al 27 de Diciembre del 2007 detecta y elimina este gusano.