| Nombre común: Wow.VM
Nombre técnico: Trj/Wow.VM
Peligrosidad: Media
Alias: Lineage,
Tipo: Troyano
Efectos: Roba información información confidencial del usuario afectado, como las claves de acceso a ciertos juegos online como World of Warcraft. Llega al ordenador en un archivo que cuando es ejecutado, muestra una imagen de una chica con rasgos asiáticos.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 18/11/2008
Detección actualizada: 18/11/2008
Estadísticas No
Descripción Breve
Wow.VM es un troyano que roba información confidencial del usuario afectado, como las claves de acceso a ciertos juegos online como World of Warcraft.
Después, envía la información que ha conseguido a ciertas páginas web, para que esté a disposición de su creador.
Wow.VM no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Efectos
Wow.VM está diseñado para robar las claves de acceso, es decir, nombres de usuario y contraseñas, de los juegos online como World of Warcraft.
Después, envía la información robada a las siguientes páginas web para que estén a disposición de su creador:
http://www.13.com/mail/upfile.asp
http://www.drc.com/opz/upfilesg.asp
Metodo de Infección
Wow.VM crea los siguientes archivos:
1.HIV y 2.HIV, en el directorio raíz de la unidad C:.
B41346EFA848.EXE y B41346EFA848.DLL, en la carpeta help del directorio de Windows.
2.BAT, en el directorio de sistema de Windows. Este archivo es creado como marca de infección.
LOVE.JPG.LNK y SYSTEM32.LNK, en la carpeta Documentos recientes del directorio Documents and Settings del usuario que haya iniciado sesión.
Wow.VM crea las siguientes entradas en el Registro de Windows:
HKEY_CLASSES_ROOT\ CLSID\ {1DBD6574-D6D0-4782-94C3-69619E719765}\ InProcServer32
Default = %windir%\help\B41346EFA848.dll
donde %windir% es el directorio de Windows.
HKEY_CLASSES_ROOT\ CLSID\ {1DBD6574-D6D0-4782-94C3-69619E719765}
(Default) = SSUUDL
HKEY_CLASSES_ROOT\ CLSID\ {1DBD6574-D6D0-4782-94C3-69619E719765}\ InProcServer32
ThreadingModel = Apartment
Método de Propagación
Wow.VM llega al ordenador en un archivo con el nombre LOVE.JPG. Cuando es ejecutado, muestra la siguiente foto:
Sin embargo, Wow.VM no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Wow.VM está escrito en el lenguaje de programación Delphi v5. Este troyano tiene un tamaño de 253912 Bytes.
|
|