Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
FormShared.A integra su propio cliente P2P y se encarga de propagar un componente de sí mismo, que corresponde al troyano SpyForms.S, a través de programas de intercambio de archivos punto a punto (P2P). Para ello, realiza el siguiente proceso:
- Crea una subcarpeta denominada SHARED en el directorio de Windows, en la que crea copias de SpyForms.S.
- Algunos de los nombres que emplea son los siguientes:
4SCREENS V3.19 BY MP2K.CZIP
4SCREENS V3.19 BY TSRH.CZIP
4SCREENS V2.15 BY TCA.CZIP
4SCREENS V2.15 BY TEX.CZIP
4SCREENS V2.15 BY TNT.CZIP
4SCREENS V2.14.CZIP
4SLIDESHOW V1.0.0.1.CZIP
4T AV V1.8 CD-VERSION FOR PALMOS.CZIP
4T AV V1.8 DVD-VERSION FOR PALMOS.CZIP
4T NOX 1.1 FOR PALMOS.CZIP
4T NVNTORY 1.8 FOR PALMOS.CZIP
4T NVNTORY 1.0 FOR PALMOS.CZIP
4T PET 1.1 FOR PALMOS.CZIP
4T PUBLICATION 1.2 FOR PALMOS.CZIP
4T PUBLICATION 1.0 FOR PALMOS.CZIP
4TEAM FOR MICROSOFT OUTLOOK 2002 V1.90.0044.CZIP
4TEAM FOR MICROSOFT OUTLOOK 2002 V1.50.0202 RETAIL.CZIP
4TEAM FOR MS OUTLOOK 2002 V1.90.0044.CZIP
4TH DIMENSION 6.5.CZIP
4TH SOFTWARE CHECKLIST SERVER V2.0.1.CZIP
4TH SOFTWARE CHECKLIST V2.0.3.CZIP
4U AVI MPEG CONVERTER V1.2.8.CZIP
4U WMA MP3 CONVERTER V3.1.5 BY DBZ.CZIP
4U WMA MP3 CONVERTER V3.1.5 BY EMBRACE.CZIP
4U WMA MP3 CONVERTER V3.1.5 BY FFF.CZIP
4U WMA MP3 CONVERTER V3.1.5 BY REVENGE.CZIP
4U WMA MP3 CONVERTER V3.0.8.CZIP
4U WMA MP3 CONVERTER V2.3.8.CZIP
4U WMA MP3 CONVERTER V2.2.3 BY FFF.CZIP
4U WMA MP3 CONVERTER V2.2.3 BY ORION.CZIP
4U WMA MP3 CONVERTER V2.2.3 BY SND.CZIP
4U WMA MP3 CONVERTER V2.2.1.CZIP
4UONLY V1.1.5.CZIP
4UONLY V1.1.2 BY CORE.CZIP
3D GRAPHER V1.2 BY SND.CZIP
3D GRAPHER V1.2 BY VIETCRACK.CZIP
3D GRAPHER V1.11.CZIP
3D GRAPHER V1.0.CZIP
3D GRAPHSAVER V2.00.CZIP
3D GRAPHSAVER V2.0 BY DBC.CZIP
3D GRAPHSAVER V2.0 BY PC.CZIP
3D GRAPHSAVER V2.0 BY RP2K.CZIP
3D GRAPHSAVER V2.0 BY TNT.CZIP
3D GROUND ZERO.CZIP
3D HAND CLOCK V4.0.CZIP
3D HAND CLOCK V3.5.CZIP
3D HANDCLOCK SCREENSAVER V3.5.CZIP
3D HANDCLOCK V3.5.CZIP
3D HANDCLOCK V2.0 BY PC.CZIP
3D HANDCLOCK V2.0 BY SQUESCH.CZIP
3D HARD CORE BY MP2K.CZIP
3D HARD CORE BY VIETCRACK.CZIP
3D HEADINGS V3.0.2.140.CZIP
3D HEADINGS V3.0.CZIP
3D HEADINGS V2.0.140 BY UCF.CZIP
3D HOCKEY V1.52 CRACK BY REVENGE.CZIP
3D HOCKEY V1.52 RETAIL BY REVENGE.CZIP
3D HOCKEY V1.51.CZIP
3D HOCKEY V1.2.CZIP
3D HOT SLOTS.CZIP
3D IMAGECUBE 2.0.CZIP
3D IMAGESCENE.CZIP
3D IMAGESCENE 1.0.CZIP
3D IMPACT PRO 1.25.CZIP
3D INTERSTELLAR VOYAGER SCREENSAVER V1.1.CZIP
3D INVIGORATOR PRO V4.0.CZIP
3D IT 1.0.CZIP
3D LAUNCHER.CZIP
3D LAUNCHER 3.0.CZIP
3D LAUNCHER 1.0 BY LAXITY.CZIP
3D LAUNCHER 1.0 BY TNT.CZIP
3D LINE GRAPHER 1.8.CZIP
3D LINES V1.2 BY CORE.CZIP
3D LINES V1.2 BY EMINENCE.CZIP
3D LINES V1.2 BY EVIDENCE.CZIP
3D LINES V1.2 BY FHCF.CZIP
3D LINES V1.2 BY NATABEC.CZIP
3D LINES V1.2 BY RP2K.CZIP
3D LINES V1.1 KEYGEN.CZIP
3D LINES V1.1 SERIAL.CZIP
3D LINES V1.0 KEYGEN.CZIP
3D LINES V1.0 SERIAL.CZIP
3D LIQUID DESKTOP SCREENSAVER V2.0 BY EVIDENCE.CZIP
3D LIQUID DESKTOP V1.0.CZIP
3D LIVE BOROBUDUR SCREENSAVER V1.0.CZIP
3D LIVE BOROBUDUR SCREENSAVER V1.00.CZIP
3D LIVE POOL V2.34 TRIAL.CZIP
3D LIVE POOL V2.32 TRIAL.CZIP
3D MAGIC.CZIP
3D MAGIC 1.10.CZIP
3D MAIL EFFECTS (3DME) V6.0.3.CZIP
3D MAIL EFFECTS (3DME) V6.03 FULL.CZIP
3D MAIL EFFECTS V6.03 FULL.CZIP
3D MAIL EFFECTS V5.0.CZIP
3D MAIL EFFECTS V3.6.1.CZIP
3D MAKER V1.1.0.CZIP
3D MANATEES.CZIP
3D MARS MISSION 4.0 PLUS 3 TRAINER.CZIP
3D MARS MISSION CRACK.CZIP
3D MARS MISSION SERIAL.CZIP
3D MATRIX SCREENSAVER.CZIP
3D MATRIX SCREENSAVER BY SND.CZIP
3D MATRIX SCREENSAVER INSIDE THE MATRIX.CZIP
3D MATRIX SCREENSAVER INSIDE THE MATRIX BY FFF.CZIP
3D MATRIX SCREENSAVER INSIDE THE MATRIX BY TSRH.CZIP
3D MATRIX SCREENSAVER THE ENDLESS CORRIDORS.CZIP
3D MATRIX SCREENSAVER V1.0.CZIP
3D MINESWEEPER V1.0.CZIP
3D MINESWEEPER V1.0 BY EXUINOX.CZIP
3D MORFIT 3D WORLDBUILDER 3.5.CZIP
3D MORRIS V1.56 RETAIL.CZIP
3D MORRIS V1.33.CZIP
3D MORRIS V1.25 KEYGEN.CZIP
3D MORRIS V1.25 PATCH.CZIP
3D MORRIS V1.22.CZIP
3D MORRIS V1.21.CZIP
3D MORRIS V1.11.CZIP - Otros usuarios de estos programas podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por FormShared.A, pensando que se trata de aplicaciones informáticas interesantes, etc.
- En realidad, estos archivos comprimidos contienen los siguientes archivos:
- un archivo de extensión EXE con el mismo nombre que el comprimido y que es una copia de SpyForms.S.
- una DLL (Librería de Enlace Dinámico).
- un archivo README.TXT. - Al ejecutar el archivo de extensión EXE, esos otros ordenadores quedarán afectados por SpyForms.S.
Metodo de Infección
FormShared.A crea el archivo CHECKERS2.EXE en el directorio de Windows. Este archivo es una copia del gusano.
Además, FormShared.A crea una subcarpeta denominada SHARED en el directorio de Windows. En esta subcarpeta, crea un número aleatorio de archivos comprimidos.
Para ello, FormShared.A cuenta con una lista de archivos, de la que selecciona uno de manera aleatoria y un número variable de los archivos que le suceden en la lista.
Los siguientes son algunos ejemplos:
3D MATRIX SCREENSAVER.CZIP
3D MATRIX SCREENSAVER BY SND.CZIP
3D MATRIX SCREENSAVER INSIDE THE MATRIX.CZIP
3D MATRIX SCREENSAVER INSIDE THE MATRIX BY FFF.CZIP
3D MATRIX SCREENSAVER INSIDE THE MATRIX BY TSRH.CZIP
3D MATRIX SCREENSAVER THE ENDLESS CORRIDORS.CZIP
3D MATRIX SCREENSAVER V1.0.CZIP
FormShared.A crea la siguiente entrada en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
checkers = %windir%\checkers2.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, FormShared.A consigue ejecutarse cada vez que Windows se inicia.
Otros Detalles
FormShared.A tiene un tamaño de 325120 Bytes, y está comprimido mediante UPX v1.9.