Que hace
Este es un virus de los que podemos llamar común, los que utilizan las memorias flash como medios de reproducción y el registro como zona de carga.Al instalarse en el sistema lo primero que hace es activar la opción de ocultar archivos y carpetas ocultos, luego crea en todas las raíces de las unidades un archivo de nombre q.com junto con un autorun.inf, estando este último ofuscado.
Estos archivos son los encargados de, cada vez que se haga doble clic en las unidades infestadas, volver a infestar todo el sistema en caso que ya no lo esté. Igualmente el archivo guarda dos módulos en C:\windows\system32 con los nombres de amvo0.dll y amvo.exe y otro en C:\Documents and Settings\usuario\Configuración local\Temp denominado cmctva4c.dll.
De estos archivos, el .exe es el encargado de ejecutarse en cada inicio de sesión y es cargado mediante el registro por la clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\amva
Como tal es considerado un troyano cuyos picos de actividad ocurren cada 30 segundos (como se muestra en la gráfica)
Vulnerabilidades
Una de las vulnerabilidades que puede tener es que se ocupa de esconder todos los archivos y carpetas de la raíz de las unidades pero deja totalmente desprotegidos a los que están en C:\windows\system32, permitiendo con esto que una ves que se logre quitar los atributos de oculto y sistema a todos los archivos de dicho directorio, los archivos que a el correspondan y se encuentren en dicha dirección quedarán totalmente desprotegidos.También lleva en contra el hecho de que se carga mediante el registro y utilizando la misma dirección de carga que la de otros tantos virus y que, por lo general, no asegura su estancia en el sistema.
Al parecer es una variante del Kavo.exe y si no lo es, pues se comporta de forma muy similar, creando en el directorio de carga un archivo de mismo nombre con el solo cambio de la colocación de un 0 y la extensión.
Esto como tal demuestra una vez más que los virus (al menos los nacionales) aún siguen llevándose todo por el mismo patrón o en su defecto, se sigue utilizando el mismo programa para la creación de los mismos.
Desinfección
Para desinfectar el sistema de este “virus” solo es necesario abrir el registro en la dirección de carga y eliminar la clave que contiene al virus, luego dirigirse a todas las unidades (mediante la consola preferiblemente) y eliminar los archivos autorun.inf y q.com, luego en C:\windows\sygstem32 eliminar avmo.exe y avmo0.dll y por último borrar en C:\Documents and Settings\usuario\Configuración local\Temp el archivo cmctva4c.dllNota: En algunas máquinas puede provocar un error en el inicio del sistema.
Nota: Aún no ha sido detectado por Segurmatica.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario