Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Valentin.E
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Valentin.E realiza las siguientes acciones:

Cuando es ejecutado, muestra una serie de mensajes con el texto Ur My Best Friend en la pantalla, como los siguientes:
Valentin.E se activa cada vez que se ejecute un archivo con extensión EXE.
Finaliza varios procesos en el caso de que éstos se encuentren activos en el ordenador afectado.
Estos procesos corresponden a programas antivirus y cortafuegos, entre otros, y son los siguientes:
ANTIVIR
ATRACK
AVCONSOL
AVP.EXE
AVSYNMGR
CFINET
CFINET32
F-PROT95
FP-WIN
F-STOPW
IAMAPP
IOMON98
LOCKDOWN2000
LUCOMSERV
MCAFEE
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
NAVWNT
NISSERV
NORTON
PCCIOMON
PCCMAIN
PCCWIN98
POP3TRAP
PVIEW95
RESCUE32
SAFEWEB
SCAM32
SIRC32
SYMPROXYSVC
VSHWIN32
VSSTAT
WEBSCANX
WEBTRAP
ZONEALARM
Recopila la siguiente información sobre el ordenador afectado:
- todos los nombres de archivo y su ubicación.
- los nombres de los archivos, procesos y eventos que están en ejecución en el momento de la infección.
Después, envía estos datos a su creador, que puede utilizar esta información para realizar nuevas acciones maliciosas.

Metodo de Infección

Valentin.E crea los siguientes archivos en el directorio de Windows:

%????%.EXE, que es una copia de sí mismo.
donde %????% representa 4 caracteres aleatorios.
%????????%.DLL. En este archivo guarda todas las direcciones que encuentra en el ordenador afectado.
Este archivo se compone de 8 caracteres y su nombre se forma tomando 2 veces los 4 caracteres aleatorios de la copia de sí mismo.
%????%.TXT, archivo de texto en el que guarda la firma del creador de Valentin.E.
El contenido de este archivo es el siguiente:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
w32.yAHa.D
aUThor :H^H, h2h@ach<bloqueado>ans.com
oRigIN :inDia, kERala(gODS own cOUntrY)
KANagaaa ,mANdi pEnnee nJan Ninne sNEhikkunnuu..
oRu sITe kITTiyirunnegggil.. hACK CHEyyyamayirunnuuu..
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Además, crea dos archivos DSK$$$.$$2 y REG$$$.$$2, en los que almacena la información recogida del ordenador afectado.

Valentin.E modifica la siguiente entrada del Registro de Windows:

HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
(Predeterminado) = "%1"%*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
(Predeterminado) = %windir%\%????%"%1"%*
donde %windir% es el directorio de Windows.
Mediante esta modificación, Valentin.E consigue ejecutarse cada vez que se ejecute un archivo con extensión EXE en el ordenador afectado.

Método de Propagación

Valentin.E se propaga a través de correo electrónico. Para ello, realiza el siguiente proceso:

Llega al ordenador en un mensaje de correo con las siguientes características:

Asunto: está relacionado con la amistad y el amor.
Puede ser uno de los siguientes:
Are you looking for Love
Best Friends
Bullshit
charming
Check ur friends Circle
Cool
Dont wait for long time
Easy Way to revel ur love
Enjoy friendship
Enjoy Romantic life
excite
Find a good friend
for you
Free Screen saver
Friendship
Friendship
Friendship Screen saver
Funny
Great
Hi
how are you
How sweet this Screen saver
humour
I am For u
Idiot
Interesting
Interesting
Joke
Learn How To Love
Let's Dance and forget pains
Let's Laugh
Life for enjoyment
Looking for Friendship
Love
love speaks from the heart
LoveGangs
make ur friend happy
Need a friend?
New
Nice
Nothink to worryy
One
One Hackers Love
One Way to Love
Origin of Friendship
powful
relations
Romantic
Say 'I Like You' To ur friend
Screensaver
searching for true Love
Send This to everybody u like
Shake it baby
Shake ur friends
Shaking
stuff
The world of Friendship
The world of lovers
to check
to enjoy
to see
to share
to ur friends
to ur lovers
to watch
True Love
U r the person?
U realy Want this
Ur My Best Friend
war Againest Loneliness
Who is ur Best Friend
Wonderfool
Wowwwwwwwwwww check it
you care ur friend

Contenido:
El mensaje comienza con alguno de los siguientes textos:
Texto 1
Hi dear
check the attach
see u
Texto 2
Hi
Check the Attachment ..
See u
Texto 3
Attached one Gift for u..
Texto 4
wOW CHECK THIS
Texto 5
Check the attachment
Texto 6
See the attachement
Texto 7
Enjoy the attachement
Texto 8
More details attached
y continúa con el siguiente texto, en el que se adjunta un salvapantallas y se solicita al usuario que envíe este salvapantallas a sus amigos:
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from <dirección web> to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you. If it comes back to you, then you'll know you
have a circle of friends.
* To remove yourself from this mailing list, point your browser to:
<dirección web>
* Enter your email address (<dirección destinatario>) in the field provided
and click "Unsubscribe".
OR...
* Reply to this message with the word "REMOVE" in the subject line.
This message was sent to address <dirección destinatario>
X-PMG-Recipient: <dirección remitente>
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Archivo adjunto: tiene nombre variable y doble extensión.
El nombre del archivo puede ser alguno de los siguientes:
BIODATA
BULLSHITSCR
CHECKFRIENDS
DAILYREPORT
ENJOYLOVE
FREESCREENSAVER
FRIENDS
FRIENDS
FRIENDS4U
FRIENDSCIRCLE
FRIENDSCR
FRIENDSEARCH
FRIENDSGREETINGS
FRIENDSHIP
FRIENDSHIP4U
FRIENDSHIPBIRD
FRIENDSHIPFORU
FRIENDSWORLD
FUCKER
GOLDFISH
GREETINGS
LOVE
LOVE
LOVE4U
LOVEFINDER
LOVEGREETINGS
LOVELETTER
LOVERS
LOVERS
LOVERSCREENSAVER
LOVERSGANG
LOVESCR
LOVESHORE
MOUNTAN
PASSION
PASSIONUP
REPORT
RESUME
RISHTHA
SCREENSAVER
SCREENSAVER4U
SCREENSAVER4U
SCREENSAVERFORU
SHAKEIT
SHAKESCR
SHAKINGFRIENDSHIP
SHAKINGLOVE
SHAREIT
SHARELOVE
TRUEFRIENDS
TRUELOVERS
URFRIEND
WEEKLYREPORT
WERFRIENDS
Primera extensión:
BMP
DAT
DOC
GIF
HTM
JPG
MDB
MP3
MPG
TXT
WAV
XLS
ZIP
Segunda extensión:
BAT
PIF
SCR

La siguiente imagen es un ejemplo de mensaje de correo electrónico que envía Valentin.E:
Valentin.E se activa automáticamente al abrir el mensaje a través de Outlook. Esto ocurrirá en los ordenadores con versiones antiguas de Internet Explorer (anteriores a la versión 6). En el resto de ordenadores, Valentin.E se activará al ejecutar el archivo adjunto al mensaje.
Busca direcciones de correo electrónico en las carpetas de contactos de diferentes servicios, como Outlook, Hotmail, Yahoo e IRC, entre otros.
Valentin.E envía una copia de sí mismo a las direcciones que ha recogido, utilizando su propio motor SMTP.
Sin embargo, Valentin.E no se envía a ninguna dirección que contenga alguno de los siguientes dominios: gov, mil.

Otros Detalles

Valentin.E tiene un tamaño de 27336 Bytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info