Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Virtumonde realiza las siguientes acciones:
- Crea una librería, que posteriormente asocia al proceso de sistema explorer.exe. De este modo, coloca dicha librería residente en memoria, para poder comprobar que el spyware esté en ejecución y lanzarlo de nuevo en caso contrario.
- Registra las pulsaciones del teclado.
- Intenta conectarse a una página web para obtener información diversa.
- Muestra periódicamente mensajes publicitarios.
- Intenta registrarse como un servicio de Windows.
- Se registra como LSP (Layered Service Provider) para recoger datos del usuario sobre su conexión a Internet, como por ejemplo, hábitos de uso de Internet, páginas visitadas, datos de la conexión telefónica, inventario de las aplicaciones instaladas en el equipo, etc.
Nota:
LSP (Layered Service Provider) es un sistema proporcionado por Windows para poder escuchar todo el tráfico TCP/IP que tiene lugar entre Internet y las aplicaciones que estén accediendo a Internet (como el navegador web, el cliente de correo electrónico, etc.).
En dicha estructura, se especifica una serie de programas que realizarán determinadas acciones sobre el tráfico TCP/IP; por ejemplo, podría especificarse un programa de seguridad informática, que analice el tráfico en busca de virus u otras amenazas antes de cederlo a la aplicación destino del tráfico.
Sin embargo, esta misma estructura también puede ser utilizada por programas adware y spyware para interceptar la comunicación a través de Internet, con el agravante de que si se eliminan sin tomar precauciones, la conexión a Internet dejará de funcionar indefinidamente.
Metodo de Infección
VirtuMonde crea los siguientes archivos:
- _UPDATE.DAT en el directorio temporal de Windows. Este archivo es una DLL (Librería de Enlace Dinámico).
- Un archivo con nombre aleatorio y extensión DLL en las siguientes subcarpetas del directorio de Windows:
ADDINS, APPPATCH, ASSEMBLY, CONFIG, CURSORS, DRIVER CACHE, DRIVERS, FONTS, HELP, INF, JAVA, MICROSOFT, MICROSOFT.NET, MSAGENT, REGISTRATION, REPAIR, SECURITY, SERVICEPACKFILES, SPEECH, SYSTEM, SYSTEM32, TASKS, WEB, WINDOWS UPDATE SETUP FILES.
VirtuMonde crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
SysUpd = %archivo%
donde %archivo% es el nombre de un archivo ejecutable de nombre aleatorio creado por VirtuMonde.
Mediante esta entrada, VirtuMonde consigue ejecutarse cada vez que se inicia Windows. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Notify\ %nombre-dll%
donde %nombre-dll% es el nombre aleatorio de la DLL que ha creado en las subcarpetas del directorio de Windows, pero sin su extensión DLL. - HKEY_CURRENT_USER\ Software\ Microsoft\ SysUpd
Método de Propagación
El spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se encuentran: troyanos, que los instalan sin consentimiento del usuario; visitas a páginas web que contienen determinados controles ActiveX o código que explota una determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware descargadas de Internet, etc.
Otros Detalles
Virtumonde está escrito en el lenguaje de programación Visual C++ v7.10. Este spyware tiene un tamaño de 307200 Bytes.