W32/VBLame.C

VBLAME.C troyano de Internet infecta raíz de unidades de disco removibles impide ejecución de programas altera sistema.

Troj/VBLame.C

VBLame.C es un troyano reportado el 20 de Agosto del 2007, que se propaga a través de servicios de Internet, incluyendo mensajes de correo electrónico.

Infecta la raíz de las unidades de disco removibles, incluso los dispositivos USB. Impide la ejecución de programas al inicio del equipo.

Crea sub-llaves de registro que alteran el funcionamiento del sistema y de no realizarse una eficiente reparación manual, será necesario re-instalar el sistema operativo.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, es un Visual Basic Script con extensión variable.

Al activarse se copia al directorio al directorio %System% con los nombres de aniee.exe y hanny.exe. Libera además el archivo:

%Root%\Tunggul.vbs

Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinSistem]
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el troyano impide de la ejecución automática de los siguientes programas:

cmd.exe
msconfig.exe
regedit.exe
PCMAV.exe
PCMAV-CLN.exe
PCMAV-RTP.exe
PCMAV-SE.exe
VB6.exe
autorun.exe
ansav.exe
ansavgd.exe
viremoval.exe
avscan.exe
avgnt.exe
iexplore.exe
firefox.exe

Luego copia el archivo Tunggul.vbs a la raíz de todaslas unidades de discos removibles, incluyendo los dispositivos USB.

Para deshabilitar el Administrador de la Barra de Tareas crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1

Para deshabilitar el Editor de Registros crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 1

Para impedir que el Explorador de Windows administre las carpetas crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1

Para ocultar archivos y carpetas del Explorador de Windows e impedir su ejecución valores en las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun]

Las sub-llaves de registro creadas alteran el sistema y deshabilitan funciones, pudiendo ser necesario re-instalar el sistema operativo.

PER ANTIVIRUS® versión 10.2 con registro de virus al 20 de Agosto del 2007 detecta y elimina eficientemente este troyano.