VEDIANCE gusano de unidades de discos removibles deshabilita Editor de Registros y Administrador de Tareas.  

© Jorge Machado  Lima-Perú

W32/Vediance

Vediance es un gusano residente en memoria, reportado el 26 de Junio del 2007, que se propaga en unidades de disco removibles, incluyendo dispositivos USB

Deshabilita el Editor de Llaves de Registro y el Administrador de Barras de Tareas y borra todos los archivos con extensión . mp3 existentes en el sistema.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con 56KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse, verifica si existe el siguiente archivo en el sistema, caso contrario detiene su accionar:

C:\Windows\TEaM_DEViANCE.txt

en caso el archivo no exista, el gusano se copia a la carpeta %System% como taskmger.com y notepad.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Systry" = "%System%\notepad.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"userd" = "%Windir%\RECYCLER\systems.com"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe taskmger.com"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para deshabilitar el Administrador de la Barra de Tareas crea las sub-llaves:

[HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableTaskmgr" = "1"

Para deshabilitar el Editor de Registros crea las sub-llaves:

[HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableRegistryTools" = "1"

Al siguiente inicio del equipo el gusano se copia a las unidades de disco removibles y dispositivos USB como:

[Unidad_de_disco]:\systems.com
[Unidad_de_disco]:\MyPictures.exe
[Unidad_de_disco]:\RECYCLER\systems.com

Luego crea un autorun.inf en cada unidad de disco removible para continuar infectando.

Finalmente borra todos los archivos con extensión .mp3 existentes en el sistema.

PER ANTIVIRUS® versión 10.1 con registro de virus al 26 de Junio del 2007 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS