publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Verona.B

Virus Verona.B

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad muy alta Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Verona.B se activa produciendo los siguientes efectos:

  • Se propaga masivamente por correo.
  • Se muestra como una tarea más en la Barra de tareas de Windows.
  • Muestra una ventana en el Escritorio de Windows.
  • Impide la normal ejecución de ficheros cuyas extensiones sean: EXE, JPG, JPEG, JPE, BMP, GIF, AVI, MPG, MPEG, WMF, WMA, WMV, MP3, MP2, VQF, DOC, XLS, ZIP, RAR, LHA, ARJ y REG.
  • Intercepta los ficheros anteriormente citados y los sustituye por el fichero SYSRNJ.EXE.

Metodo de infección:

Verona.B crea los siguientes ficheros en el directorio temporal de Windows:

  • XJULIET.CHM, incluido dentro del mensaje que provocó la infección. Verona.B está aprovechando una vulnerabilidad de Internet Explorer 5.x que permite ejecutar programas utilizando ficheros con extensión CHM.
  • XROMEO.EXE. Este fichero sólo funcionará si el directorio temporal de Windows es: C:\WINDOWS\ TEMP.
    XROMEO.EXE busca en la Libreta de direcciones posibles destinatarios de correo electrónico para enviarles una copia del gusano.
  • SYSRNJ.EXE. Es una copia del fichero XROMEO.EXE.

Verona.B modifica los siguientes ficheros:

  • Intercepta los ficheros cuyas extensiones sean EXE, JPG, JPEG, JPE, BMP, GIF, AVI, MPG, MPEG, WMF, WMA, WMV, MP3, MP2, VQF, DOC, XLS, ZIP, RAR, LHA, ARJ y REG para sustituirlos por el fichero: SYSRNJ.EXE.

Verona.B modifica las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\ rnjfile\ shell\ open\ command
  • HKEY_CURRENT_USER\ rnjfile\ DefaultIcon
    Con estas dos modificaciones, establece las asociaciones con los ficheros: XJULIET.CHM, XROMEO.EXE y SYSRNJ.EXE.

Metodo de propagación:

Verona.B se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

  • Llega al ordenador en un mensaje de correo electrónico con las siguientes características:

    Asunto: es variable, pudiendo ser uno de los siguientes:

    Romeo&Juliet
    Where is my juliet ?
    Where is my romeo ?
    Hi
    Last wish ???
    Lol :)
    ,,...
    !!!
    Newborn
    Merry christmas!
    Surprise !
    Caution: NEW VIRUS !
    Scandal !
    ^_^

    Ficheros adjuntos:
    MYROMEO.EXE y XJULIET.CHM.
  • Verona.B se activa en cuanto el mensaje de correo electrónico es visualizado a través de la Vista previa de Outlook o es abierto.
  • Verona.B obtiene las direcciones de correo electrónico almacenadas en el sistema y envía los ficheros: MYROMEO.EXE y XJULIET.CHM.
  • Verona.B utiliza las siguientes direcciones IP de servidores para enviar los mensajes infectados:
    194.181.138.141
    195.116.104.14
    195.116.221.65
    195.116.72.5
    195.117.3.111
    195.117.88.7
    195.117.99.98
    195.117.117.6
    195.205.96.185
    195.205.121.183
    195.205.208.33
    212.106.133.133
    212.160.95.1
    212.244.241.81
    212.244.67.20
    212.244.197.164
    213.25.111.2
    213.25.175.3

Otros detalles:

Verona.B está escrito en el lenguaje de programación Delphi. El fichero XROMEO.EXE es un programa ejecutable con formato PE que tiene un tamaño de 29 KBytes cuando está comprimido mediante UPX, y de aproximadamente 70 KBytes una vez es descomprimido.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork