vjw0rm

Vjw0rm es un gusano que infecta los dispositivos de almacenamiento de eliminación accesibles, como una unidad flash USB. También puede ejecutar instrucciones que recibe de un servidor de comando y control (C&C) y permanecer persistente en la máquina infectada.

El gusano Vjw0rm es un archivo JavaScript malicioso que se propaga creando copias de sí mismo en dispositivos de almacenamiento extraíbles accesibles.

Mientras está activo, el gusano envía una solicitud de red a su servidor C&C cada 7 segundos, proporcionando información sobre la máquina infectada y esperando instrucciones adicionales de sus operadores. Si recibe instrucciones, el gusano puede ejecutarlas en la máquina infectada.

Llegada

Este gusano puede llegar a una computadora de varias formas:

1. Desde un dispositivo de almacenamiento extraíble infectado
2. Mediante descarga automática
3. Descargado o dejado caer en la computadora por otro malware

Propagación

Una vez que está presente en una computadora, el gusano puede propagar o difundir copias de su archivo malicioso al infectar los dispositivos de almacenamiento extraíbles que están insertados y accesibles. Lo hace realizando el siguiente conjunto de acciones cada 7 segundos:

1. Identifique los dispositivos de almacenamiento de extracción que están insertados y accesibles mediante IsReady y DriveType.
2. Copie el archivo de secuencia de comandos vjw0rm en el directorio raíz del dispositivo:
   1. Establezca los atributos del archivo de script como ocultos y del sistema.
3. Enumere todas las carpetas y archivos dentro del directorio raíz:
   1. Establezca sus atributos en oculto y sistema (atributos de archivo constante: 0x06 (0x04 + 0x02))
   2. Cree un acceso directo para cada carpeta / archivo:
      1. Establezca el icono del acceso directo:
         1. Archivos: busque el icono predeterminado en el registro según la extensión
         2. Carpeta: icono de carpeta predeterminado del registro
      2. Establezca la ruta de destino del acceso directo:
         1. Archivos: “cmd.exe / c start <dropped_vjw0rm_ScriptName> & start <original_files_path> & exit”
         2. Carpeta: “cmd.exe / c iniciar <dropped_vjw0rm_ScriptName> e iniciar el explorador <original_folders_path> y salir”

Persistencia

Además de propagarse para mantener su presencia, el gusano puede permanecer persistente en la máquina infectada de varias formas:

1. Crea una tarea programada (llamada ‘Skype’) que ejecuta el script del gusano cada 30 minutos.
2. Se copia a sí mismo en la carpeta Inicio, de modo que el gusano se inicia cada vez que se inicia la máquina.
3. Se agrega a la carpeta de registro de inicio.

Actividad de la red

Vjw0rm se pone en contacto con un servidor C&C remoto para proporcionar a sus operadores información sobre la máquina infectada, así como para recuperar cualquier instrucción adicional que puedan emitir.

Cada 7 segundos, el gusano envía una solicitud POST con un User-Agent personalizado a su servidor C&C. Esto permite a los operadores del gusano identificar qué máquinas infectadas están en línea (y por lo tanto están disponibles para recibir comandos), además de proporcionar información básica sobre las máquinas.

La solicitud se puede definir como:

POST [host]: [puerto] / Vre
Agente de usuario: [etiqueta] \ [logicaldiskserialnum] \ [nombre de equipo] \ [nombre de usuario] \ [osnamever] \ [avdisplayname] \\ [vbc_exist] \ [

Respuesta

Los operadores del gusano pueden enviar una respuesta a la solicitud POST de la máquina infectada que contiene comandos para que la máquina los ejecute. La respuesta se puede definir como:

[comando] [SPL] [arg1] [SPL] [arg2]