W32/VBLame.D

VBLAME.D troyano Internet infecta raíz unidades de disco removibles altera funcionamiento de Explorador de Windows.

Troj/VBLame.D

VBLame.D es un troyano reportado el 21 de Agosto del 2007, que se propaga a través de servicios de Internet, incluyendo mensajes de correo electrónico.

Infecta la raíz de las unidades de disco removibles, incluyendo diskettes y los dispositivos USB.

Crea sub-llaves de registro que alteran el funcionamiento del Explorador de Windows.

Infecta Windows 98/NT/Me/2000/XP y Server 2003, es un Visual Basic Script con extensión variable.

Al activarse se copia a las siguientes rutas con los nombres de archivos:

\Documents and Settings\Administrator\Application Data\Kau dan aku.exe
\Documents and Settings\Administrator\Local Settings\Cinta membawamu kembali.exe
\Documents and Settings\Administrator\Local Settings\Application Data\Di balas dengan dusta.exe
\Documents and Settings\Administrator\My Documents\Tercipta untukmu.exe
\Documents and Settings\Administrator\My Documents\My Pictures\Cintailah cinta.exe
User\Application Data\Intrik cinta.exe
User\Documents\Kau pilih dia.exe
User\Documents\My Pictures\Ada apa dengan cinta.exe
%Startup%\Loadme.pif
%System%\Bitch.exe
%System%\Liar.exe
%System%\Svseehost.exe

Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BITCH" = "%System%\Bitch.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LIAR" = "%System%\Liar.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SVSEEHOST" = "%System%\Svseehost.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el troyano crea la siguientes sub-llaves para deshabilitar funciones de Windows Explorer:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0

Infecta la raíz de las unidades de disco removibles, incluyendo diskettes y los dispositivos de almacenamiento USB.

PER ANTIVIRUS® versión 10.2 con registro de virus al 21 de Agosto del 2007 detecta y elimina eficientemente este troyano.